# Sicurezza
**Topics**
+ [Nozioni di base sulla sicurezza](a-sec-security.md)
+ [Gestione di identità e accessi](a-identity-and-access-management.md)
+ [Rilevamento](a-detective-controls.md)
+ [Protezione dell’infrastruttura](a-infrastructure-protection.md)
+ [Protezione dei dati](a-data-protection.md)
+ [Risposta agli imprevisti](a-incident-response.md)
# Nozioni di base sulla sicurezza
**Topics**
+ [SEC 1 Come gestisci in modo sicuro un carico di lavoro?](w2aac19b7b5b5.md)
# SEC 1 Come gestisci in modo sicuro un carico di lavoro?
Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati con le raccomandazioni di AWS e del settore nonché con l'intelligence sulle minacce aiuta a sviluppare il modello di rischio e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di ricalibrare le operazioni di sicurezza.
**Topics**
+ [SEC01-BP01 Separazione dei carichi di lavoro tramite account](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Protezione Account AWS](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identificazione e convalida degli obiettivi di controllo](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Aggiornamento costante sulle minacce alla sicurezza](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Aggiornamento costante sulle raccomandazioni di sicurezza](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Separazione dei carichi di lavoro tramite account
Inizia tenendo conto della sicurezza e dell'infrastruttura per consentire alla tua organizzazione di impostare guardrail comuni al crescere dei carichi di lavoro. Questo approccio fornisce limiti e controlli tra i carichi di lavoro. La separazione a livello di account è fortemente consigliata per isolare gli ambienti di produzione dagli ambienti di sviluppo e test, oppure per fornire un forte limite logico tra i carichi di lavoro che elaborano dati con diversi livelli di sensibilità, secondo quanto definito da requisiti di conformità esterni (ad esempio PCI-DSS o HIPAA), e i carichi di lavoro che non lo fanno.
**Livello di rischio associato se questa best practice non fosse adottata:** Alta
## Guida all'implementazione
+ Utilizzo di AWS Organizations: utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account Account AWS.
+ [Nozioni di base su AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Come usare le policy di controllo dei servizi per impostare guardrail di permessi negli account della tua AWS Organization ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Considerazioni su AWS Control Tower: AWS Control Tower rappresenta un modo semplice per configurare e gestire un nuovo ambiente AWS sicuro e multi-account in base alle best practice.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Risorse
**Documenti correlati:**
+ [Best practice IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins)
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Video correlati:**
+ [Gestire ambienti AWS multi-account tramite AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
+ [Uso di AWS Control Tower per gestire ambienti AWS multi-account ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Protezione Account AWS
La protezione degli account Account AWS prevede diversi aspetti, tra cui la protezione di e il non utilizzo dell' [utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)e l'aggiornamento costante delle informazioni di contatto. Puoi utilizzare [AWS Organizations](https://aws.amazon.com/organizations/) per gestire e amministrare centralmente i tuoi account man mano che i tuoi carichi di lavoro in AWS crescono e li ridimensioni. AWS Organizations ti aiuta a gestire gli account, impostare controlli e configurare i servizi tra gli account.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Utilizzo di AWS Organizations: utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account Account AWS.
+ [Nozioni di base su AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Come usare le policy di controllo dei servizi per impostare guardrail di permessi negli account della tua AWS Organization ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Limita l'uso dell'utente root AWS. Utilizza l'utente root solo per eseguire attività che lo richiedono specificamente.
+ [ Attività AWS che richiedono le credenziali di un utente root dell'account AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Abilita l'autenticazione a più fattori (MFA) per l'utente root: abilita MFA sull'utente root Account AWS, se AWS Organizations non gestisce gli utenti root per te.
+ [Utente root ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Modifica periodica della password dell'utente root: modificare periodicamente la password dell'utente root riduce il rischio di utilizzo di una password salvata. Si tratta di un aspetto particolarmente importante se non utilizzi AWS Organizations e chiunque dispone di un accesso fisico.
+ [ Modifica della password dell'utente root Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Abilita le notifiche quando viene usato l'utente root Account AWS: ricevere una notifica in automatico riduce i rischi.
+ [ Come ricevere notifiche quando si utilizzano chiavi di accesso root di Account AWS](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Accesso limitato a regioni aggiunte di recente: per le nuove Regioni AWS, le risorse IAM, ad esempio utenti e ruoli, verranno propagate solo alle regioni abilitate.
+ [ Definizione dei permessi per abilitare gli account per Regioni AWS imminenti ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Considera AWS CloudFormation StackSets: CloudFormation StackSets consente di distribuire risorse, tra cui policy, ruoli e gruppi IAM, in una serie di regioni e Account AWS a partire da un modello approvato.
+ [ Uso di CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Risorse
**Documenti correlati:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Best practice IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bollettini sulla sicurezza ](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [ Abilita l'adozione AWS su scala con automazione e governance ](https://youtu.be/GUMSgdB-l6s)
+ [ Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
**Esempi correlati:**
+ [ Laboratorio: Account AWS e utente root ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identificazione e convalida degli obiettivi di controllo
In base ai requisiti di conformità e ai rischi identificati dal modello di rischio, deriva e convalida gli obiettivi di controllo e i controlli da applicare al carico di lavoro. La convalida continua degli obiettivi di controllo e dei controlli aiuta a misurare l'efficacia della mitigazione dei rischi.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Identifica i requisiti di conformità. Scopri i requisiti organizzativi, legali e di conformità perché il tuo carico di lavoro risulti conforme.
+ Identifica le risorse di conformità AWS: identifica le risorse che AWS mette a disposizione per aiutarti nei processi di conformità.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Risorse
**Documenti correlati:**
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [AWS Security Hub CSPM: gestire gli avvisi di sicurezza e automatizzare la conformità](https://youtu.be/HsWtPG_rTak)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Aggiornamento costante sulle minacce alla sicurezza
Per definire e implementare controlli appropriati, riconosci i vettori di attacco rimanendo aggiornato sulle minacce alla sicurezza più recenti. Usa AWS Managed Services per semplificare la ricezione di notifiche in seguito a comportamenti inaspettati o inusuali nei tuoi account AWS. Esegui delle indagini avvalendoti degli strumenti AWS Partner o di feed di informazioni sulle minacce di terze parti come parte del tuo flusso di informazioni di sicurezza. Al [CVE (Common Vulnerabilities and Exposures) ](https://cve.mitre.org/) contiene vulnerabilità di sicurezza informatica pubbliche che puoi utilizzare come aggiornamento.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Iscrizione alle fonti di informazione sulle minacce: consulta regolarmente le informazioni sulle minacce da varie fonti attinenti alle tecnologie che utilizzi per il tuo carico di lavoro.
+ [Elenco CVE (Common Vulnerabilities and Exposures) ](https://cve.mitre.org/)
+ Considera il servizio [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : fornisce visibilità quasi in tempo reale sulle fonti di intelligence, se il tuo carico di lavoro è accessibile da Internet.
## Risorse
**Documenti correlati:**
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Aggiornamento costante sulle raccomandazioni di sicurezza
Tieniti aggiornato sulle raccomandazioni di sicurezza di AWS e del settore, così da revisionare l'assetto di sicurezza del tuo carico di lavoro. [Bollettini sulla sicurezza AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contengono informazioni importanti sulla sicurezza e notifiche relative alla privacy.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Segui gli aggiornamenti di AWS: segui o verifica regolarmente la presenza di nuovi consigli, suggerimenti e trucchi.
+ [AWS Well-Architected Labs](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog sulla sicurezza AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentazione del servizio AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Sottoscrivi gli aggiornamenti di settore: consulta regolarmente le notizie da varie fonti attinenti alle tecnologie impiegate nel tuo carico di lavoro.
+ [Esempio: Elenco CVE (Common Vulnerabilities and Exposures)](https://cve.mitre.org/cve/?ref=wellarchitected)
## Risorse
**Documenti correlati:**
+ [Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline
Stabilisci previsioni e modelli sicuri per i meccanismi di sicurezza testati e convalidati come parte della compilazione, delle pipeline e dei processi. Utilizza strumenti e l'automazione per testare e convalidare tutti i controlli di sicurezza in modo continuo. Ad esempio, scansiona elementi quali immagini di macchine e modelli di infrastrutture come codice per individuare vulnerabilità di sicurezza, irregolarità e deviazioni da una previsione stabilita in ogni fase. AWS CloudFormation Guard può aiutarti a verificare la sicurezza dei modelli CloudFormation, a risparmiare tempo e a ridurre il rischio che si verifichino errori di configurazione.
È fondamentale ridurre il numero di errori di sicurezza introdotti in un ambiente di produzione, quindi più operazioni di controllo di qualità e riduzione dei difetti è possibile eseguire nel processo di compilazione, più efficace sarà il risultato. Progetta pipeline di integrazione e distribuzione continue (CI/CD) per testare eventuali problemi di sicurezza quando possibile. Le pipeline CI/CD offrono l'opportunità di migliorare la sicurezza in ogni fase della compilazione e della distribuzione. Anche gli strumenti di sicurezza CI/CD devono essere mantenuti aggiornati per mitigare le minacce in continua evoluzione.
Monitora le modifiche alla configurazione del tuo carico di lavoro per facilitare gli audit di conformità, la gestione delle modifiche e le indagini che possono essere applicate al tuo caso. Puoi usare AWS Config per registrare e valutare le tue risorse AWS e di terze parti. Consente di eseguire audit costanti e di valutare la conformità generale a regole e pacchetti di conformità, ossia raccolte di regole con azioni di correzione.
Nel monitoraggio delle modifiche sono incluse modifiche pianificate, parte del processo di controllo delle modifiche della tua organizzazione (a cui a volte si fa riferimento con l'acronimo MACD: Move, Add, Change, Delete), le modifiche non pianificate e le modifiche inaspettate, come gli incidenti. Le modifiche possono avvenire a livello di infrastruttura, ma essere relative anche ad altre categorie, come le modifiche nei repository di codice, le modifiche delle immagini di macchine e degli inventari di applicazioni, le modifiche di processi e policy o le modifiche alla documentazione.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Automazione della gestione della configurazione: applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configurazione di una pipeline CI/CD in AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Risorse
**Documenti correlati:**
+ [Come usare le policy di controllo dei servizi per impostare guardrail di permessi negli account della tua AWS Organization](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Video correlati:**
+ [Gestire ambienti AWS multi-account tramite AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia
Utilizza un modello di rischio per identificare e mantenere un registro aggiornato delle potenziali minacce. Classifica le minacce in ordine di priorità e adatta i controlli di sicurezza in modo da prevenirle, rilevarle e affrontarle. Rivedi e mantieni questo approccio nel contesto dell'evoluzione del panorama della sicurezza.
La modellazione delle minacce offre un approccio sistematico di supporto nell'individuazione e nella risoluzione di problematiche di sicurezza nella fase iniziale del processo di progettazione. Se le mitigazioni avvengono prima è meglio, perché i costi sono inferiori a una fase più avanzata del ciclo di vita.
I passaggi di base tipici del processo di modellazione delle minacce sono:
1. Identificare gli asset, gli attori, i punti d'ingresso, i componenti, i casi d'uso e i livelli di fiducia e includerli in un diagramma di progettazione.
1. Identificare un elenco di minacce.
1. Per ogni minaccia identificare le mitigazioni, che possono includere implementazioni di controlli di sicurezza.
1. Creare e rivedere una matrice dei rischi per stabilire se la minaccia è stata correttamente mitigata.
La modellazione delle minacce è più efficace se viene eseguita a livello di carico di lavoro (o di funzionalità del carico di lavoro), garantendo la disponibilità dell'intero contesto per la valutazione. Mantenere e aggiornare questa matrice in linea con l'evoluzione dello scenario di sicurezza.
**Livello di rischio associato se questa best practice non fosse adottata:** Bassa
## Guida all'implementazione
+ Creazione di un modello di minaccia: un modello di minaccia aiuta a identificare e affrontare potenziali minacce alla sicurezza.
+ [NIST: Guida alla modellazione delle minacce del sistema incentrato sui dati ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Risorse
**Documenti correlati:**
+ [AWS Security Audit Guidelines ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Bollettini sulla sicurezza ](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza
Valuta e implementa servizi e funzionalità di sicurezza di AWS e partner AWS che consentano di sviluppare l'assetto di sicurezza del carico di lavoro. Il blog sulla sicurezza AWS evidenzia nuovi servizi e funzionalità AWS, guide all'implementazione e linee guida generali sulla sicurezza. [Novità di AWS](https://aws.amazon.com/new) è un'ottima scelta per essere aggiornati su tutte le nuove funzionalità, i servizi e gli annunci AWS.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Pianificazione di revisioni regolari: crea un calendario di attività di revisione che preveda requisiti di conformità, valutazione delle nuove funzionalità e dei nuovi servizi di sicurezza AWS e l'aggiornamento costante rispetto alle novità del settore.
+ Funzionalità e servizi AWS: scopri le funzionalità di sicurezza disponibili per i servizi che utilizzi e approfondisci le nuove caratteristiche al momento del rilascio.
+ [ Blog sulla sicurezza AWS](https://aws.amazon.com/blogs/security/)
+ [ Bollettini sulla sicurezza AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentazione del servizio AWS](https://aws.amazon.com/documentation/)
+ Definizione del processo di onboarding del servizio AWS: definisci i processi per l'onboarding di nuovi servizi AWS. Includi il modo in cui valuti la funzionalità dei nuovi servizi AWS e i requisiti di conformità per il tuo carico di lavoro.
+ Test di nuovi servizi e funzionalità: testa nuovi servizi e funzionalità al momento del rilascio in un ambiente non di produzione che replica in maniera fedele quello di produzione.
+ Implementazione di altri meccanismi di difesa: implementa meccanismi automatizzati per difendere il carico di lavoro, esplora le opzioni disponibili.
+ [Correzione di risorse AWS non conformi in base alle regole di Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Risorse
**Video correlati:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# Gestione di identità e accessi
**Topics**
+ [SEC 2 Come gestisci l'autenticazione per persone e macchine?](w2aac19b7b7b5.md)
+ [SEC 3 Come gestisci le autorizzazioni per persone e macchine?](w2aac19b7b7b7.md)
# SEC 2 Come gestisci l'autenticazione per persone e macchine?
Ci sono due tipi di identità da gestire quando ci si avvicina all'utilizzo di carichi di lavoro AWS sicuri. Comprendere il tipo di identità necessaria per gestire e concedere l'accesso ti aiuta a garantire che le identità corrette abbiano accesso alle risorse giuste nelle condizioni adeguate.
Identità umane: amministratori, sviluppatori, operatori e utenti finali necessitano di un'identità per accedere agli ambienti e alle applicazioni AWS. Si tratta di membri dell'organizzazione o utenti esterni con cui collabori e che interagiscono con le tue risorse AWS tramite browser Web, applicazioni client o strumenti a riga di comando interattivi.
Identità di macchine: le applicazioni di servizio, gli strumenti operativi e i carichi di lavoro necessitano di un'identità per effettuare richieste ai servizi AWS, ad esempio per leggere i dati. Queste identità includono macchine in esecuzione nell'ambiente AWS, ad esempio istanze Amazon EC2 o funzioni AWS Lambda. Puoi gestire le identità di macchine anche per soggetti esterni che necessitano dell'accesso. Inoltre, potresti disporre di macchine al di fuori di AWS che devono accedere al tuo ambiente AWS.
**Topics**
+ [SEC02-BP01 Utilizzo meccanismi di accesso efficaci](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Utilizzo di credenziali temporanee](sec_identities_unique.md)
+ [SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro](sec_identities_secrets.md)
+ [SEC02-BP04 Fai affidamento su un provider di identità centralizzato](sec_identities_identity_provider.md)
+ [SEC02-BP05 Verifica e rotazione periodica delle credenziali](sec_identities_audit.md)
+ [SEC02-BP06 Utilizzo dei gruppi di utenti e degli attributi](sec_identities_groups_attributes.md)
# SEC02-BP01 Utilizzo meccanismi di accesso efficaci
Imposta la lunghezza minima della password e spiega agli utenti la necessità di evitare password comuni o utilizzate in precedenza. Applica la Multi-Factor Authentication (MFA) con meccanismi software o hardware per garantire un ulteriore livello di verifica. Ad esempio, quando utilizzi Centro identità IAM come origine di identità, configura l'impostazione "Compatibile con il contesto" o "Sempre attivo" per MFA e consenti agli utenti di registrare i propri dispositivi MFA per accelerare l'adozione. Quando utilizzi un provider di identità (IdP) esterno, configura il provider di identità per MFA.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Creazione di una policy Identify and Access Management (IAM) per applicare l'accesso MFA: crea una policy IAM gestita del cliente che vieta tutte le azioni IAM eccetto quelle che consentono a un utente di assumere ruoli, cambiare le proprie credenziali e gestire i dispositivi MFA sulla pagina [Le mie credenziali di sicurezza](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ Abilitazione di MFA nel provider di identità: abilita [MFA](https:/aws.amazon.com/iam/details/mfa) nel provider di identità o sul servizio single sign-on, come [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), che usi.
+ Configurazione di una policy di password sicura: configura una [policy di password sicura](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) in IAM e nei sistemi di identità federate per contribuire alla protezione da attacchi di forza bruta.
+ [Rotazione regolare delle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): assicurati che gli amministratori del carico di lavoro modifichino le password e le chiavi di accesso (se utilizzate) con cadenza regolare.
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best Practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Utilizzo di credenziali temporanee
richiedi alle identità di acquisire dinamicamente [credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Per le identità della forza lavoro, utilizza AWS IAM Identity Center o la federazione con ruoli AWS Identity and Access Management (IAM) per accedere a Account AWS. Per le identità di macchine, ad esempio le istanze Amazon Elastic Compute Cloud(Amazon EC2) o le funzioni AWS Lambda, è necessario utilizzare ruoli IAM anziché utenti IAM con chiavi di accesso a lungo termine.
Per le identità umane che utilizzano Console di gestione AWS, è necessario che gli utenti acquisiscano credenziali temporanee ed eseguano la federazione in AWS. Puoi farlo con il portale utenti AWS IAM Identity Center. Per gli utenti che richiedono l'accesso alla CLI, assicurati di utilizzare [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), che supporta l'integrazione diretta con IAM Identity Center. Gli utenti possono creare profili CLI collegati ad account e ruoli IAM Identity Center. La CLI recupera automaticamente le credenziali AWS da IAM Identity Center e le aggiorna per tuo conto. In questo modo non è più necessario copiare e incollare credenziali AWS temporanee dalla console IAM Identity Center. Per l'SDK, gli utenti devono fare affidamento su AWS Security Token Service (AWS STS) per acquisire ruoli per ricevere credenziali temporanee. In alcuni casi, le credenziali temporanee potrebbero non essere pratiche. È necessario conoscere i rischi che comporta l'archiviazione delle chiavi di accesso, ruotarle spesso e richiedere l'autenticazione a più fattori (MFA) come condizione quando possibile. Uso delle informazioni a cui è stato eseguito l'ultimo accesso per stabilire quando ruotare o rimuovere le chiavi di accesso.
Per i casi in cui è necessario concedere ai consumatori l'accesso alle risorse AWS, utilizza i pool di identità di [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) e assegna loro un set di credenziali temporanee con credenziali limitate per accedere alle risorse AWS. Le autorizzazioni per ciascun utente sono controllate tramite i [ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) creati. Puoi definire regole per scegliere il ruolo per ogni utente in base alle registrazioni nel token ID dell'utente. Puoi definire un ruolo predefinito per gli utenti autenticati. Puoi anche definire un ruolo IAM separato con autorizzazioni limitate per gli utenti guest non autenticati.
Per le identità di macchine, è necessario fare affidamento sui ruoli IAM per concedere l'accesso ad AWS. Per le istanze Amazon Elastic Compute Cloud(Amazon EC2), puoi utilizzare i [ruoli per Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Puoi collegare un ruolo IAM all'istanza Amazon EC2 per consentire alle applicazioni in esecuzione su Amazon EC2 di utilizzare credenziali di sicurezza temporanee create, distribuite e fatte ruotare automaticamente da AWS tramite Instance Metadata Service (IMDS). La [versione più recente](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) di IMDS aiuta a proteggere da vulnerabilità che espongono le credenziali temporanee e devono essere implementate. Per accedere alle istanze Amazon EC2 con chiavi o password, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) è un modo più sicuro per accedere e gestire le istanze utilizzando un agente preinstallato senza il segreto archiviato. Inoltre, altri servizi AWS, ad esempio AWS Lambda, consentono di configurare un ruolo del servizio IAM per concedere le autorizzazioni al servizio per eseguire operazioni AWS utilizzando credenziali temporanee. In situazioni in cui non è possibile usare credenziali temporanee, usa strumenti programmatici come [Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/), per automatizzare la rotazione e la gestione delle credenziali.
**Verifica e ruota periodicamente le credenziali: **La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Nella fase di passaggio da utenti IAM a identità centralizzate, puoi [generare un report sulle credenziali ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)per un audit degli utenti IAM. Ti consigliamo inoltre di monitorare le impostazioni MFA nel tuo provider di identità. È possibile configurare [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) per monitorare queste impostazioni. Per le identità di macchine, devi fare affidamento sulle credenziali temporanee utilizzando i ruoli IAM. Per situazioni in cui ciò non è possibile, è necessario eseguire audit frequenti e ruotare le chiavi di accesso.
**Archivia e utilizza i segreti in modo sicuro:** Per le credenziali non correlate a IAM e che non possono sfruttare le credenziali temporanee, ad esempio gli accessi al database, utilizza un servizio progettato per gestire i segreti, ad esempio [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager semplifica la gestione, la rotazione e l'archiviazione sicura delle chiavi segrete crittografate utilizzando i [servizi supportati](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Le chiamate per accedere ai segreti vengono registrate in AWS CloudTrail ai fini dell'audit e le autorizzazioni IAM possono concedere loro un accesso con privilegi minimi.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Implementazione di policy con privilegi minimi: assegna policy di accesso con privilegi minimi a gruppi e ruoli IAM in modo da rispecchiare il ruolo o la funzione dell'utente che hai definito.
+ [Assegnare il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ Rimozione delle autorizzazioni non necessarie: implementa il privilegio minimo rimuovendo le autorizzazioni superflue.
+ [Riduzione dell'ambito di applicazione della policy mediante visualizzazione dell'attività dell'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Visualizzazione dell'accesso al ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ Considerazioni sui limiti delle autorizzazioni: un limite delle autorizzazioni è una caratteristica avanzata per utilizzare una policy gestita che imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Il limite delle autorizzazioni di un'entità le permette di eseguire solo le operazioni consentite dalle policy basate su identità e dai limiti delle autorizzazioni.
+ [Laboratorio: limiti delle autorizzazioni IAM per delegare la creazione di ruoli](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ Tag di risorse per le autorizzazioni: puoi utilizzare i tag per controllare l'accesso alle risorse AWS che supportano il tagging. Puoi anche applicare tag a utenti e ruoli IAM per controllare a cosa possono accedere.
+ [Laboratorio: controllo degli accessi basato su tag IAM per EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [Controllo dell'accesso basato su attributi (Attribute-Based Access Control, ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro
Per la forza lavoro e le identità di macchine che richiedono segreti, come password per applicazioni di terze parti, archiviale con rotazione automatica utilizzando gli standard di settore più recenti in un servizio specializzato, mentre per le credenziali che non sono legate a IAM e che non possono sfruttare credenziali temporanee, come gli accessi al database, usa un servizio ideato per la gestione dei segreti, come Gestione dei segreti AWS. Secrets Manager semplifica la gestione, la rotazione e l'archiviazione sicura di segreti crittografati tramite servizi supportati. Le chiamate per accedere ai segreti vengono registrate in AWS CloudTrail ai fini dell'audit e le autorizzazioni IAM possono concedere loro un accesso con privilegi minimi.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Uso di Gestione dei segreti AWS: [Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) è un servizio AWS che ti facilita il compito di gestire i segreti. I segreti possono essere credenziali di database, password, chiavi API di terze parti e persino testo arbitrario.
## Risorse
**Documenti correlati:**
+ [Nozioni di base su Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 Fai affidamento su un provider di identità centralizzato
Per le identità della forza lavoro, affidati a un provider di identità che ti consenta di gestire le identità in un luogo centralizzato. In questo modo è più semplice gestire l'accesso tra più applicazioni e servizi, perché crei, gestisci e revochi l'accesso da una singola posizione. Ad esempio, se qualcuno lascia la tua organizzazione, puoi revocare l'accesso per tutte le applicazioni e i servizi (incluso AWS) da un'unica posizione. Ciò riduce la necessità di molteplici credenziali e offre l'opportunità di integrarsi con i processi delle risorse umane esistenti.
Per la federazione con singoli account AWS, puoi utilizzare identità centralizzate per AWS con un provider basato su SAML 2.0 con AWS Identity and Access Management. Puoi utilizzare qualsiasi provider: in hosting su AWS, esterno ad AWS o fornito dalla AWS Partner, compatibile con il protocollo [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Puoi utilizzare la federazione tra l'account AWS e il provider scelto per concedere a un utente o a un'applicazione l'accesso per chiamare le operazioni API AWS utilizzando un'asserzione SAML per ottenere le credenziali di sicurezza temporanee. È, inoltre, supportato il Single Sign-On basato sul Web, che consente agli utenti di accedere alla Console di gestione AWS dal portale di accesso.
Per la federazione a più account in AWS Organizations, puoi configurare l'origine di identità in [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)e specificare dove sono archiviati gli utenti e i gruppi. Una volta configurato, il provider di identità è la tua fonte di attendibilità e puoi [sincronizzare](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) le informazioni utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Puoi, quindi, cercare utenti o gruppi e concedere loro l'accesso IAM Identity Center ad account AWS, applicazioni cloud o entrambi.
IAM Identity Center si integra con AWS Organizations consentendoti di configurare il provider di identità una volta e quindi [concedere l'accesso agli account nuovi e esistenti](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gestiti nella tua organizzazione. IAM Identity Center fornisce uno store predefinito che puoi utilizzare per gestire utenti e gruppi. Se scegli di utilizzare lo store IAM Identity Center, crea utenti e gruppi e assegna il loro livello di accesso agli account e alle applicazioni AWS, tenendo presente la best practice del privilegio minimo. In alternativa, puoi scegliere di [connetterti al provider di identità esterno ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)utilizzando SAML 2.0 o [connetterti a Microsoft AD Directory](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) utilizzando AWS Directory Service. Una volta configurate, puoi accedere alla Console di gestione AWS o all'app mobile AWS, eseguendo l'autenticazione tramite il tuo provider di identità centrale.
Per gestire gli utenti finali o i consumatori dei tuoi carichi di lavoro, ad esempio un'app per dispositivi mobili, puoi utilizzare [Amazon Cognito](http://aws.amazon.com/cognito/). Ti consente di autenticare, autorizzare e gestire utenti per applicazioni Web e per dispositivi mobili. Gli utenti possono accedere direttamente con un nome utente e una password oppure tramite terze parti, ad esempio Amazon, Apple, Facebook o Google.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Centralizzazione dell'accesso amministrativo: crea un'entità di gestore dell'identità digitale Identity and Access Management (IAM) per stabilire una relazione consolidata tra l'Account AWS e il gestore dell'identità digitale (IdP). IAM supporta gli IdP compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0).
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Centralizzazione dell'accesso alle applicazioni: considera Amazon Cognito per centralizzare l'accesso alle applicazioni. Si tratta di un servizio che consente di aggiungere il controllo di registrazione e accessi alle tue app Web e per dispositivi mobili in modo rapido e semplice. [Amazon Cognito](https://aws.amazon.com/cognito/) ricalibra le risorse per milioni di utenti e supporta l'accesso con gestori di identità social, come Facebook, Google e Amazon, e gestori di identità aziendali attraverso SAML 2.0.
+ Rimozione di gruppi e utenti IAM obsoleti: dopo avere cominciato a utilizzare un gestore dell'identità digitale (IdP), rimuovi gli utenti e i gruppi IAM non più necessari.
+ [Trovare credenziali non utilizzate](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Eliminare un gruppo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Risorse
**Documenti correlati:**
+ [Best Practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Verifica e rotazione periodica delle credenziali
Quando non puoi fare affidamento sulle credenziali temporanee e devi richiedere credenziali a lungo termine, verificale per assicurarti che siano applicati i controlli prestabiliti (ad esempio, la MFA), siano soggette regolarmente a rotazione e dispongano di un livello di accesso appropriato. La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Nella fase di passaggio da utenti AWS Identity and Access Management (IAM) a identità centralizzate, puoi [generare un report sulle credenziali ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)per un audit degli utenti IAM. Ti consigliamo inoltre di monitorare le impostazioni MFA nel tuo provider di identità. È possibile configurare [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) per monitorare queste impostazioni. Per le identità di macchine, devi fare affidamento sulle credenziali temporanee utilizzando i ruoli IAM. Per situazioni in cui ciò non è possibile, è necessario eseguire audit frequenti e ruotare le chiavi di accesso.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Esegui una verifica regolare delle credenziali: usa report di credenziali e Identify and Access Management (IAM) Access Analyzer per verificare le credenziali e le autorizzazioni IAM.
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Come ottenere un report sulle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [Laboratorio: Pulizia automatica degli utenti IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ Usa i livelli di accesso per verificare le autorizzazioni IAM: per migliorare la sicurezza dell'account Account AWS, rivedi e monitora regolarmente ciascuna delle policy IAM, assicurandoti che concedano il privilegio minimo necessario per eseguire solo le operazioni indispensabili.
+ [Utilizzo di livelli di accesso per rivedere le autorizzazioni IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ Prendi in considerazione l'automazione della creazione e degli aggiornamenti delle risorse IAM: AWS CloudFormation può essere utilizzato per automatizzare la distribuzione di risorse IAM, inclusi ruoli e policy, per ridurre gli errori umani, perché i modelli possono essere verificati e controllati a livello di versione.
+ [Laboratorio: Distribuzione automatizzata di gruppi e ruoli IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluzioni dei partner per la sicurezza: accesso e controllo degli accessi](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenziali di sicurezza temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Utilizzo dei gruppi di utenti e degli attributi
Man mano che il numero di utenti gestiti cresce, sarà necessario determinare i modi per organizzarli in modo da poterli gestire su vasta scala. Inserisci gli utenti con requisiti di sicurezza comuni in gruppi definiti dal provider di identità e metti in atto meccanismi per garantire che gli attributi utente che potrebbero essere utilizzati per il controllo degli accessi (ad esempio, reparto o posizione) siano corretti e aggiornati. Utilizza questi gruppi e attributi, anziché i singoli utenti, per controllare l'accesso. In questo modo puoi gestire l'accesso centralmente, modificando una volta sola l'appartenenza o gli attributi di un gruppo utente con un [set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), anziché aggiornare numerose policy individuali quando le esigenze di accesso di un utente cambiano. Puoi utilizzare AWS IAM Identity Center (IAM Identity Center) per gestire gruppi di utenti e attributi. IAM Identity Center supporta la maggior parte degli attributi utilizzati, indipendentemente dal fatto che vengano inseriti manualmente durante la creazione dell'utente o assegnati automaticamente utilizzando un motore di sincronizzazione, come definito nella specifica System for Cross-Domain Identity Management (SCIM).
Inserisci gli utenti con requisiti di sicurezza comuni in gruppi definiti dal provider di identità e metti in atto meccanismi per garantire che gli attributi utente che potrebbero essere utilizzati per il controllo degli accessi (ad esempio, reparto o posizione) siano corretti e aggiornati. Utilizza questi gruppi e attributi, anziché i singoli utenti, per controllare l'accesso. In questo modo è possibile gestire l'accesso centralmente, modificando una volta sola l'appartenenza o gli attributi di un gruppo utente, anziché aggiornare numerose policy individuali quando le esigenze di accesso di un utente cambiano.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Se stai utilizzando AWS IAM Identity Center (IAM Identity Center), configura i gruppi: IAM Identity Center offre la possibilità di configurare gruppi di utenti e di assegnare ai gruppi il livello di autorizzazione desiderato.
+ [AWS Single Sign-On - Gestione delle identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Scopri il controllo degli accessi basato su attributi (ABAC): ABAC è una strategia di autorizzazione che definisce i permessi in base agli attributi.
+ [Che cos'è ABAC per AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Laboratorio: controllo degli accessi basato su tag IAM per EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Risorse
**Documenti correlati:**
+ [Nozioni di base su AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [L'utente root dell'account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Video correlati:**
+ [Best practice per la gestione, il recupero e la rotazione di segreti su scala](https://youtu.be/qoxxRlwJKZ4)
+ [Gestione delle autorizzazioni utente su scala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Esempi correlati:**
+ [Laboratorio: controllo degli accessi basato su tag IAM per EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 Come gestisci le autorizzazioni per persone e macchine?
Gestisci le autorizzazioni per controllare l'accesso alle identità di persone e macchine che richiedono l'accesso ad AWS e al tuo carico di lavoro. Le autorizzazioni controllano chi può accedere a cosa e a quali condizioni.
**Topics**
+ [SEC03-BP01 Definizione dei requisiti di accesso](sec_permissions_define.md)
+ [SEC03-BP02 Concessione dell'accesso con privilegio minimo](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Determinazione di un processo per l'accesso di emergenza](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Riduzione delle autorizzazioni in modo continuo](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definizione dei guardrail per le autorizzazioni dell'organizzazione](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Gestione degli accessi in base al ciclo di vita](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analisi dell'accesso pubblico e multi-account](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Condivisione delle risorse in modo sicuro](sec_permissions_share_securely.md)
# SEC03-BP01 Definizione dei requisiti di accesso
Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Individua una definizione chiara di chi o cosa deve avere accesso a ciascun componente, quindi scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.
**Anti-pattern comuni:**
+ Codifica fissa o archiviazione dei segreti nell'applicazione.
+ Concessione di autorizzazioni personalizzate per ogni utente.
+ Utilizzo di credenziali di lunga durata.
**Livello di rischio associato se questa best practice non fosse adottata:** alto
## Guida all'implementazione
Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Individua una definizione chiara di chi o cosa deve avere accesso a ciascun componente, quindi scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.
L'accesso regolare agli Account AWS dell'organizzazione viene fornito utilizzando [l'accesso federato](https://aws.amazon.com/identity/federation/) o un gestore dell'identità centralizzato. Occorre anche centralizzare la gestione delle identità e garantire la presenza di una procedura consolidata per integrare l'accesso ad AWS nel ciclo di vita dell'accesso dei dipendenti. Ad esempio, quando un dipendente passa a un ruolo lavorativo con un livello di accesso diverso, anche la sua appartenenza al gruppo deve cambiare per riflettere i nuovi requisiti di accesso.
Quando si definiscono i requisiti di accesso per le identità non umane, determina quali applicazioni e componenti devono accedere e come vengono concesse le autorizzazioni. L'utilizzo di ruoli IAM creati con il modello di accesso con privilegi minimi è un approccio consigliato. [Le policy gestite da AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) forniscono le policy IAM predefinite che coprono la maggior parte dei casi d'uso comuni.
I servizi AWS, come [Gestione dei segreti AWS](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) e [Archivio dei parametri AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)ti consentono di scollegare i segreti dall'applicazione o dal carico di lavoro in modo sicuro nei casi in cui non è possibile utilizzare i ruoli IAM. In Secrets Manager puoi adottare la rotazione automatica delle credenziali. Puoi usare Systems Manager per fare riferimento a parametri negli script, comandi, documenti SSM, configurazione e flussi di lavoro di automazione utilizzando il nome univoco specificato al momento della creazione del parametro.
Puoi usare AWS Identity and Access Management Roles Anywhere per ottenere [credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) per i carichi di lavoro eseguiti all'esterno di AWS. I tuoi carichi di lavoro possono utilizzare le stesse [policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che usi con le applicazioni AWS per accedere alle risorse AWS.
Ove possibile, prediligi le credenziali temporanee a breve termine rispetto a quelle statiche a lungo termine. Per gli scenari in cui gli utenti IAM devono avere l'accesso programmatico e credenziali a lungo termine, utilizza [le ultime informazioni usate per la chiave di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) per ruotare e rimuovere le chiavi di accesso.
## Risorse
**Documenti correlati:**
+ [Il controllo dell'accesso basato su attributi (Attribute-Based Access Control, ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS Managed policies for IAM Identity Center (Policy gestite da AWS per IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM policy conditions (Condizioni delle policy AWS IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Casi d'uso IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Rimozione di credenziali non necessarie](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Lavorare con le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [How to control access to AWS resources based on Account AWS, OU, or organization (Come controllare l'accesso alle risorse AWS in base all'account, all'unità organizzativa o all'organizzazione AWS)](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identify, arrange, and manage secrets easily using enhanced search in Gestione dei segreti AWS (Identificazione, organizzazione e gestione semplificate dei segreti con la ricerca avanzata di Gestione dei segreti AWS)](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Video correlati:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Diventa un IAM Policy Master in 60 minuti)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separazione dei compiti, privilegio minimo, delega e integrazione e distribuzione continua (CI/CD)](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation (Semplificazione della gestione delle identità e degli accessi per l'innovazione)](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Concessione dell'accesso con privilegio minimo
Concedi alle identità soltanto il livello di accesso di cui hanno bisogno, specificando le operazioni che possono effettuare, le risorse AWS su cui possono operare e a quali condizioni. Affidati ai gruppi e agli attributi di identità per impostare dinamicamente le autorizzazioni su vasta scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, puoi concedere a un gruppo di sviluppatori le autorizzazioni per gestire solo le risorse del loro progetto. In questo modo, quando uno sviluppatore lascia il gruppo, perderà l'accesso a tutte le risorse gestite tramite il gruppo e non sarà necessario modificare le policy di accesso.
**Anti-pattern comuni:**
+ L'impostazione predefinita è la concessione delle autorizzazioni di amministratore agli utenti.
+ L'utilizzo dell'account root per le attività quotidiane.
**Livello di rischio associato se questa best practice non fosse adottata:** alto
## Guida all'implementazione
Stabilire un principio di [privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) assicura che alle identità venga concesso di eseguire il minimo set di funzioni necessarie alla realizzazione di un'attività specifica, bilanciando al tempo stesso usabilità ed efficienza. Il funzionamento di questo principio limita l'accesso involontario e ti consente di verificare chi ha accesso a quali risorse. In AWS per impostazione predefinita le identità non dispongono di autorizzazioni ad eccezione dell'utente root. Le credenziali per l'utente root devono essere rigorosamente controllate e utilizzate solo per poche [attività specifiche](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Puoi utilizzare le policy per concedere esplicitamente autorizzazioni collegate a IAM o a entità di risorse, ad esempio un ruolo IAM utilizzato da identità federate, macchine o risorse, come un bucket S3. Quando crei e colleghi una policy, puoi specificare le azioni del servizio, le risorse e le condizioni che devono essere vere affinché AWS consenta l'accesso. AWS supporta una varietà di condizioni che contribuiscono a ridurre l'accesso. Ad esempio, utilizzando `PrincipalOrgID, una` [chiave di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), l'identificatore di AWS Organizations viene verificato in modo che l'accesso possa essere concesso all'interno della tua organizzazione AWS.
Puoi anche controllare le richieste effettuate dai servizi AWS per tuo conto, ad esempio AWS CloudFormation per la creazione di una funzione AWS Lambda, utilizzando la chiave di condizione `CalledVia` . Occorre suddividere in livelli i diversi tipi di policy per limitare efficacemente le autorizzazioni complessive di un account. Ad esempio, puoi consentire ai team dell'applicazione di creare le proprie policy IAM usando un [limite delle autorizzazioni](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) per contenere il numero massimo di autorizzazioni che possono concedere.
Sono disponibili diverse funzionalità AWS per consentirti di applicare su vasta scala la gestione delle autorizzazioni e aderire al principio del privilegio minimo. [Il controllo degli accessi basato su attributi](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) ti consente di limitare le autorizzazioni in base al *[tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* di una risorsa, per prendere le decisioni di autorizzazione in base ai tag applicati alla risorsa e al principale IAM chiamante. Ti consente di combinare nella tua policy tag e autorizzazioni per ottenere l'accesso granulare alle risorse senza la necessità di creare molte policy personalizzate.
Un altro modo per accelerare la creazione di una policy con privilegi minimi consiste nel basare la policy sulle autorizzazioni CloudTrail dopo l'esecuzione di un'attività. [Il Sistema di analisi degli accessi IAM può generare automaticamente una policy IAM basata su attività](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). È inoltre possibile utilizzare IAM Access Advisor a livello di organizzazione o singolo account per [monitorare le ultime informazioni a cui si accede per una determinata policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Stabilisci una cadenza di revisione di questi dettagli e rimozione delle autorizzazioni non necessarie. Occorre impostare dei guardrail di autorizzazione all'interno della tua organizzazione AWS per controllare il numero massimo di autorizzazioni di qualsiasi account membro. I servizi come [AWS Control Tower dispongono di controlli preventivi gestiti prescrittivi](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) che ti permettono di definire i tuoi controlli.
## Risorse
**Documenti correlati:**
+ [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniques for writing least privilege IAM policies (Tecniche per la scrittura di policy IAM con privilegio minimo)](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity (IAM Access Analyzer semplifica l'implementazione delle autorizzazioni con privilegio minimo generando policy IAM basate sull'attività di accesso)](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM policy types and when to use them (Tipi di policy IAM e quando utilizzarle)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Test delle policy IAM con il simulatore di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Guardrails in AWS Control Tower (Guardrail in AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero Trust architectures: An AWS perspective (Architetture Zero Trust: una prospettiva AWS)](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [How to implement the principle of least privilege with CloudFormation StackSets (Come implementare il principio del privilegio minimo con CloudFormation StackSets)](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Video correlati:**
+ [Next-generation permissions management (Gestione delle autorizzazioni di ultima generazione)](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective (Zero Trust: una prospettiva AWS)](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (Come utilizzare i limiti delle autorizzazioni per limitare utenti e ruoli IAM e impedire l'escalation dei privilegi?)](https://www.youtube.com/watch?v=omwq3r7poek)
**Esempi correlati:**
+ [Laboratorio: limiti delle autorizzazioni IAM per delegare la creazione di ruoli](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Determinazione di un processo per l'accesso di emergenza
Un processo che consente l'accesso di emergenza al carico di lavoro nell'improbabile caso di un problema a un processo automatizzato o a una pipeline. Questo consente di utilizzare criteri di accesso con privilegi minimi, ma garantisce che gli utenti possano ottenere il corretto livello di accesso quando ne hanno bisogno. Ad esempio, puoi definire un processo per gli amministratori per verificare e approvare la loro richiesta, ad esempio un ruolo AWS tra account di emergenza per l'accesso o un processo specifico che gli amministratori devono seguire per convalidare e approvare una richiesta di emergenza.
**Anti-pattern comuni:**
+ La mancanza di un processo di emergenza per il ripristino da interruzione con la configurazione dell'identità esistente.
+ La concessione di autorizzazioni con privilegi elevati a lungo termine per la risoluzione dei problemi o per scopi di ripristino.
**Livello di rischio associato se questa best practice non fosse adottata:** medio
## Guida all'implementazione
L'applicazione dell'accesso di emergenza può assumere diverse forme per le quali occorre essere preparati. Il primo è un errore del gestore dell'identità principale. In questo caso, è necessario impiegare un secondo metodo di accesso con le autorizzazioni necessarie per il ripristino che potrebbe essere eseguito da un gestore dell'identità di backup o un utente IAM. Questo secondo metodo deve essere [rigorosamente controllato, monitorato e notificato](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) nel caso venga utilizzato. L'identità di accesso di emergenza deve provenire da un account specifico per questo scopo e disporre solo delle autorizzazioni per assumere un ruolo appositamente progettato per il ripristino.
Occorre anche essere preparati per l'accesso di emergenza in cui è necessario un accesso amministrativo temporaneo con privilegi elevati. Uno scenario comune consiste nel limitare le autorizzazioni mutevoli a un processo automatizzato utilizzato per l'implementazione delle modifiche. Nel caso in cui questo processo riscontri un problema, gli utenti potrebbero avere la necessità di autorizzazioni con privilegi elevati per ripristinare la funzionalità. In questa situazione, stabilisci un processo in cui gli utenti possono richiedere l'accesso con privilegi elevati e gli amministratori possono convalidarlo e approvarlo. I piani di implementazione che includono i dettagli delle best practice per la preassegnazione dell'accesso e la creazione di ruoli di emergenza *di tipo break-glass* sono forniti come parte di [SEC10-BP05 Preassegnazione dell'accesso](sec_incident_response_pre_provision_access.md).
## Risorse
**Documenti correlati:**
+ [Monitor and Notify on AWS (Monitoraggio e invio di notifiche in AWS)](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Managing temporary elevated access (Gestione dell'accesso temporaneo con privilegi elevati)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Video correlato:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Diventa un IAM Policy Master in 60 minuti)](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Riduzione delle autorizzazioni in modo continuo
Man mano che i team e i carichi di lavoro determinano l'accesso di cui hanno bisogno, rimuovi le autorizzazioni che non utilizzano più e stabilisci processi di revisione per applicare le autorizzazioni con privilegi minimi. Monitora e riduci continuamente le identità e le autorizzazioni non utilizzate.
A volte, quando i team e i progetti stanno per iniziare, puoi scegliere di concedere un accesso estensivo (in un ambente di sviluppo o di test) per promuovere innovazione e agilità. Ti suggeriamo di valutare gli accessi con regolarità e, soprattutto in un ambiente di produzione, di limitare l'accesso solo alle autorizzazioni richieste e di ottenere il privilegio minimo. AWS offre funzionalità di analisi degli accessi per identificare accessi inutilizzati. Per identificare gli utenti, i ruoli, le autorizzazioni e le credenziali inutilizzati, AWS analizza le attività di accesso e fornisce informazioni sull'ultimo ruolo e chiave di accesso utilizzati. Puoi utilizzare il [timestamp dell'ultimo accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) a [identificare utenti e ruoli inutilizzati](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)e rimuoverli. Inoltre, puoi rivedere le informazioni sull'ultimo accesso al servizio e sull'ultima azione per identificare e [restringere le autorizzazioni per specifici utenti e ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Ad esempio, puoi utilizzare le informazioni sull'ultimo accesso per identificare le operazioni Amazon Simple Storage Service(Amazon S3) specifiche richieste dal ruolo dell'applicazione e limitare l'accesso solo a quelle. Queste funzionalità sono disponibili nella Console di gestione AWS e a livello di programmazione per consentirti di incorporarle nei flussi di lavoro dell'infrastruttura e negli strumenti automatizzati.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Configurazione di AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer identifica le risorse dell'organizzazione e gli account, ad esempio i bucket Amazon Simple Storage Service (Amazon S3) o i ruoli IAM, che sono condivisi con un'entità esterna.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Risorse
**Documenti correlati:**
+ [Controllo dell'accesso basato su attributi (Attribute-Based Access Control, ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Assegnare il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Rimozione di credenziali non necessarie](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Lavorare con le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Video correlati:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Diventa un IAM Policy Master in 60 minuti)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separazione dei compiti, privilegio minimo, delega e integrazione e implementazione continua CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Definizione dei guardrail per le autorizzazioni dell'organizzazione
Stabilisci controlli comuni che limitano l'accesso a tutte le identità nella tua organizzazione. Ad esempio, puoi limitare l'accesso a Regioni AWS specifiche o impedire agli operatori di eliminare risorse comuni, come ad esempio un ruolo IAM utilizzato per il team di sicurezza centrale.
**Anti-pattern comuni:**
+ Esecuzione di carichi di lavoro nell'account di amministratore dell'organizzazione.
+ Esecuzione di carichi di lavoro di produzione e non di produzione nello stesso account.
**Livello di rischio associato se questa best practice non fosse adottata:** medio
## Guida all'implementazione
Man mano che aumenti e gestisci carichi di lavoro aggiuntivi in AWS, devi separarli utilizzando gli account e gestire questi ultimi utilizzando AWS Organizations. Ti consigliamo di stabilire limiti di autorizzazione comuni che limitano l'accesso a tutte le identità nella tua organizzazione. Ad esempio, puoi limitare l'accesso a Regioni AWS specifiche o impedire al tuo team di eliminare risorse comuni, come ad esempio un ruolo IAM utilizzato dal team di sicurezza centrale.
Puoi iniziare implementando delle policy di controllo dei servizi di esempio, come una policy che impedisce agli utenti di disabilitare i servizi chiave. Le policy di controllo dei servizi utilizzano il linguaggio di policy IAM e consentono di stabilire i controlli a cui aderiscono tutti i principali IAM (utenti e ruoli). Puoi limitare l'accesso a specifiche azioni del servizio, risorse e in base a condizioni specifiche per soddisfare le esigenze di controllo degli accessi della tua organizzazione. Se necessario, puoi definire eccezioni ai limiti definiti. Ad esempio, puoi limitare le azioni del servizio per tutte le entità IAM nell'account tranne per un ruolo amministratore specifico.
Ti consigliamo di evitare di eseguire carichi di lavoro nell'account di gestione. L'account di gestione deve essere utilizzato per governare e distribuire i guardrail di sicurezza che influiscono sugli account membri. Alcuni servizi AWS supportano l'uso di un account amministratore delegato. Se è disponibile, devi utilizzare questo account delegato anziché l'account di gestione. È necessario limitare scrupolosamente l'accesso all'account dell'amministratore dell'organizzazione.
L'utilizzo di una strategia multi-account ti consente di avere una maggiore flessibilità nell'applicazione di guardrail ai tuoi carichi di lavoro. L'architettura di riferimento per la sicurezza AWS fornisce le indicazioni prescrittive su come progettare la struttura del tuo account. I servizi AWS come AWS Control Tower forniscono le funzionalità per gestire centralmente i controlli preventivi e investigativi all'interno dell'organizzazione. Definisci uno scopo chiaro per ogni account o unità organizzativa all'interno della tua organizzazione e limita i controlli in linea con tale scopo.
## Risorse
**Documenti correlati:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Policy di controllo dei servizi (Service Control Policies, SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Get more out of service control policies in a multi-account environment (Ottieni di più dalle policy di controllo dei servizi in un ambiente multi-account)](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Security Reference Architecture (AWS SRA) (Architettura di riferimento per la sicurezza AWS (AWS SRA))](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Video correlati:**
+ [Enforce Preventive Guardrails using Service Control Policies (Applicazione di guardrail preventivi utilizzando le policy di controllo dei servizi)](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower (Creazione di una governance su vasta scala con AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive (Approfondimenti su AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Gestione degli accessi in base al ciclo di vita
Integra i controlli degli accessi con il ciclo di vita degli operatori e delle applicazioni e con il tuo provider di federazione centralizzata. Ad esempio, rimuovi l'accesso di un utente quando lascia l'organizzazione o cambia ruolo.
Quando gestisci i carichi di lavoro utilizzando account separati, in alcuni casi sarà necessario condividere le risorse tra tali account. Ti consigliamo di condividere le risorse utilizzando [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Questo servizio ti consente di condividere in modo semplice e sicuro le risorse AWS all'interno della tua organizzazione AWS Organizations e delle unità organizzative. Con AWS RAM, l'accesso alle risorse condivise viene automaticamente concesso o revocato quando gli account vengono spostati da e verso l'organizzazione o l'unità organizzativa con cui sono condivisi. In questo modo puoi garantire che le risorse vengano condivise solo con gli account desiderati.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
Ciclo di vita degli accessi utente: implementa una policy per il ciclo di vita degli accessi utente per i nuovi entranti, le modifiche alle funzioni lavorative e gli uscenti per garantire l'accesso solo agli utenti attuali.
## Risorse
**Documenti correlati:**
+ [Controllo dell'accesso basato su attributi (Attribute-Based Access Control, ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Assegnare il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Rimozione di credenziali non necessarie](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Lavorare con le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Video correlati:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Diventa un IAM Policy Master in 60 minuti)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separazione dei compiti, privilegio minimo, delega e integrazione e distribuzione continua (CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analisi dell'accesso pubblico e multi-account
Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che ne hanno bisogno.
**Anti-pattern comuni:**
+ La mancanza di un processo per governare l'accesso multi-account e l'accesso pubblico alle risorse.
**Livello di rischio associato se questa best practice non fosse adottata:** basso
## Guida all'implementazione
In AWS puoi concedere l'accesso a risorse in un altro account. Concedi l'accesso diretto multi-account utilizzando le policy collegate alle risorse, ad esempio [le policy di bucket Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html), o consentendo a un'identità di assumere un ruolo IAM in un altro account. Quando si utilizzano le policy di risorse, verifica che l'accesso sia concesso alle identità dell'organizzazione e rendi pubbliche le risorse. Definisci un processo per approvare tutte le risorse che devono essere pubblicamente disponibili.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) usa la [sicurezza comprovabile](https://aws.amazon.com/security/provable-security/) per identificare tutti i percorsi di accesso a una risorsa dall'esterno del proprio account. Esamina continuamente le policy delle risorse e segnala i risultati dell'accesso pubblico e tra account per semplificare l'analisi di accessi potenzialmente estensivi. Prendi in considerazione la configurazione di IAM Access Analyzer con AWS Organizations per verificare di avere visibilità su tutti i tuoi account. IAM Access Analyzer ti permette anche di [visualizzare in anteprima i risultati del sistema di analisi degli accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)prima di implementare le autorizzazioni delle risorse. Questo consente di convalidare che le modifiche alla policy concedono solo l'accesso multi-account e pubblico autorizzati alle risorse. Quando si progetta per l'accesso a più account, [le policy di attendibilità consentono di controllare in quali casi è possibile assumere un ruolo](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Ad esempio, puoi limitare l'assunzione del ruolo a un particolare intervallo di IP di origine.
Puoi anche utilizzare [AWS Config per segnalare e correggere le risorse](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) per qualsiasi configurazione di accesso pubblico accidentale, tramite i controlli delle policy AWS Config. Servizi come [AWS Control Tower](https://aws.amazon.com/controltower) e [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) semplificano l'implementazione di controlli e guardrail in AWS Organizations per identificare e correggere le risorse pubblicamente esposte. Ad esempio, AWS Control Tower ha un guardrail gestito in grado di rilevare se [gli snapshot Amazon EBS sono ripristinabili da tutti gli account AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Risorse
**Documenti correlati:**
+ [Utilizzo di AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Guardrails in AWS Control Tower (Guardrail in AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Foundational Security Best Practices standard (Standard delle best practice per la sicurezza di base di AWS)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config Managed Rules (Regole gestite di AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [Riferimento dei controlli AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Video correlati:**
+ [Best Practices for securing your multi-account environment (Best practice per la protezione dell'ambiente multi-account)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Approfondimenti sul Sistema di analisi degli accessi IAM)](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Condivisione delle risorse in modo sicuro
Regola il consumo di risorse condivise tra account diversi o all'interno della tua AWS Organizations. Monitora le risorse condivise e rivedi l'accesso alle stesse.
**Anti-pattern comuni:**
+ Utilizzo della policy di attendibilità IAM predefinita quando si concede l'accesso multi-account di terze parti.
**Livello di rischio associato se questa best practice non fosse adottata:** basso
## Guida all'implementazione
Quando gestisci i tuoi carichi di lavoro utilizzando più account AWS, potrebbe essere necessario condividere le risorse tra gli account. Molto spesso si tratta della condivisione tra account all'interno di AWS Organizations. Diversi servizi AWS come [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)e [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) dispongono di funzionalità per più account integrate in Organizations. Puoi utilizzare [AWS Resource Access Manager](https://aws.amazon.com/ram/) per condividere altre risorse comuni, come [i collegamenti del gateway di transito alla VPN o le sottoreti VPC](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)o [le pipeline di Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Se vuoi assicurarti che il tuo account condivida solo risorse all'interno di Organizations, ti consigliamo di utilizzare [le policy di controllo dei servizi](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) per impedire l'accesso a principali esterni.
Quando condividi le risorse, devi mettere in atto le misure per proteggerti da accessi non intenzionali. Ti consigliamo di combinare i controlli basati sull'identità e i controlli di rete per [creare un perimetro di dati per la tua organizzazione](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Questi controlli devono porre limiti rigorosi a quali risorse possono essere condivise e impedire la condivisione o l'esposizione non consentite delle risorse. Ad esempio, come parte del tuo perimetro di dati puoi utilizzare le policy dell'endpoint VPC e la condizione `aws:PrincipalOrgId` per garantire che le identità che accedono ai bucket Amazon S3 appartengano all'organizzazione.
In alcuni casi, potresti voler consentire la condivisione di risorse al di fuori di Organizations o concedere a terze parti l'accesso al tuo account. Ad esempio, un partner può fornire una soluzione di monitoraggio che deve accedere alle risorse del tuo account. In questi casi, devi creare un ruolo tra più account IAM con i soli privilegi necessari alla terza parte. Dovresti anche creare una policy di attendibilità usando [la condizione ID esterno](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Quando si utilizza un ID esterno, è necessario generare un ID univoco per ciascuna terza parte. L'ID univoco non deve essere fornito o controllato da terzi. Se la terza parte non ha più bisogno di accedere al tuo ambiente, occorre rimuovere il ruolo. In ogni caso, devi evitare di fornire a terze parti credenziali IAM a lungo termine. Tieni presente gli altri servizi AWS che supportano in modo nativo la condivisione. Ad esempio AWS Well-Architected Tool consente [la condivisione di un carico di lavoro](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) con altri account AWS.
Quando si usa un servizio come Amazon S3, si consiglia di [disabilitare le liste di controllo degli accessi (ACL) per il bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) e usare le policy IAM per definire il controllo degli accessi. [Per limitare l'accesso a un'origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) da [Amazon CloudFront](https://aws.amazon.com/cloudfront/)migra dall'identità di accesso origine (OAI) al controllo degli accessi di origine (OAC) che supporta funzionalità aggiuntive tra cui la crittografia lato server con [AWS KMS](https://aws.amazon.com/kms/).
## Risorse
**Documenti correlati:**
+ [Il proprietario del bucket concede autorizzazioni multi-account per gli oggetti che non sono di sua proprietà](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM (Come utilizzare le policy di attendibilità con IAM)](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS (Creazione del perimetro dei dati in AWS)](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources (Come utilizzare un ID esterno quando si concede a una terza parte l'accesso alle risorse AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Video correlati:**
+ [Granular Access with AWS Resource Access Manager (Accesso granulare con Gestione degli accessi alle risorse AWS)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Protezione del perimetro dei dati con gli endpoint VPC)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Applicazione di un perimetro dei dati in AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)
# Rilevamento
**Topics**
+ [SEC 4 In che modo individui ed esamini gli eventi di sicurezza?](w2aac19b7b9b5.md)
# SEC 4 In che modo individui ed esamini gli eventi di sicurezza?
Acquisisci ed analizza gli eventi a partire da log e parametri per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro.
**Topics**
+ [SEC04-BP01 Configurazione dei registri di servizi e applicazioni](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Analisi di log, risultati e parametri a livello centrale](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Automazione delle risposte agli eventi](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implementazione di eventi di sicurezza fruibili](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 Configurazione dei registri di servizi e applicazioni
Configura i registri per tutto il carico di lavoro, inclusi registri di applicazioni, di risorse e di servizi AWS. Ad esempio, assicurati che AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty e AWS Security Hub CSPM siano abilitati per tutti gli account all'interno della tua organizzazione.
Una pratica di base è quella di stabilire un set di meccanismi di rilevamento a livello di account. Questo set di meccanismi di base ha lo scopo di registrare e rilevare un'ampia gamma di operazioni su tutte le risorse nel tuo account. Tali meccanismi consentono di creare una funzionalità di rilevamento completa con opzioni che includono la correzione automatizzata e integrazioni dei partner per renderla ancora più funzionale.
In AWS, i servizi che possono implementare questo set di base includono:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) fornisce uno storico degli eventi delle attività del tuo account AWS, incluse le operazioni eseguite dalla Console di gestione AWS, gli SDK AWS, gli strumenti a riga di comando e altri servizi AWS.
+ [AWS Config](http://aws.amazon.com/config) monitora e registra le configurazioni delle risorse AWS e consente di automatizzare la valutazione e la correzione rispetto alle configurazioni desiderate.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e account AWS.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) offre un unico punto di aggregazione, organizzazione e assegnazione di priorità per gli avvisi di sicurezza o i risultati provenienti da diversi servizi AWS e da prodotti opzionali di terze parti per fornire una panoramica completa degli avvisi di sicurezza e dello stato di conformità.
Partendo dalla base esistente a livello di account, molti servizi AWS principali, ad esempio [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc), forniscono funzionalità di registrazione a livello di servizio. [Registri di flusso Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) consentono di acquisire informazioni sul traffico IP da e verso le interfacce di rete che possono fornire approfondimenti preziosi sulla cronologia della connettività e attivare azioni automatizzate in base a comportamenti anomali.
Per le istanze Amazon Elastic Compute Cloud (Amazon EC2) e la registrazione basata su applicazioni che non proviene dai servizi AWS, i registri possono essere archiviati e analizzati utilizzando [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Un' [agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) raccoglie i log dal sistema operativo e dalle applicazioni in esecuzione e li archivia automaticamente. Quando i log sono disponibili in CloudWatch Logs, puoi [elaborarli in tempo reale](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)o analizzarli utilizzando [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).
Oltre alla raccolta e all'aggregazione dei log, è altrettanto importante la capacità di estrarre informazioni significative dai grandi volumi di dati di log ed eventi generati da architetture complesse. Consulta la scheda *Monitoraggio* del [Whitepaper sul principio dell'affidabilità](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) per maggiori dettagli. I log stessi possono contenere dati considerati sensibili, sia quando i dati dell'applicazione sono stati erroneamente inseriti nei file di log acquisiti dall'agente di CloudWatch Logs, sia quando la registrazione tra regioni è configurata per l'aggregazione dei log e vi sono considerazioni legislative sulla spedizione di determinati tipi di informazioni oltre confine.
Un approccio consiste nell'utilizzare le funzioni AWS Lambda, attivate su eventi quando vengono distribuiti i registri, per filtrare e redigere i dati di registro prima di inoltrarli a una posizione di registrazione centrale, ad esempio un bucket Amazon Simple Storage Service (Amazon S3). I registri non redatti possono essere conservati in un bucket locale fino a quando non è trascorso un "periodo di tempo ragionevole" (secondo quanto stabilito dalla legislazione e dal team legale) e a quel punto una regola del ciclo di vita di Amazon S3 può eliminarli automaticamente. Si possono proteggere ulteriormente i log in Amazon S3 utilizzando [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), dove è possibile archiviare oggetti utilizzando un modello WORM (Write Once Read Many).
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Abilitazione della registrazione dei servizi AWS: abilita la registrazione dei servizi AWS per soddisfare i tuoi requisiti. Le funzionalità di registrazione includono quanto segue: registri di flussi Amazon VPC, registri Elastic Load Balancing (ELB), registri di bucket Amazon S3, registri di accesso CloudFront, registri di query Amazon Route 53 e registri Amazon Relational Database Service (Amazon RDS).
+ [AWS Answers: capacità native di registrazioni di sicurezza AWS](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ Valuta e abilita la registrazione di sistemi operativi e log specifici per l'applicazione, così da rilevare eventuali comportamenti sospetti.
+ [ Nozioni di base su CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ Strumenti per gli sviluppatori e analisi dei registri ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ Applicazione di controlli adeguati ai registri: i registri contengono informazioni sensibili e solo gli utenti autorizzati devono avere accesso a tali dati. Considera la possibilità di limitare le autorizzazioni per i bucket Amazon S3 e i gruppi di logCloudWatch Logs.
+ [ Autenticazione e controllo degli accessi per Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Gestione di identità e accessi in Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ Configurazione [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e Account AWS. Abilita GuardDuty e configura gli avvisi automatici per e-mail utilizzando il laboratorio.
+ [Configurazione di un percorso personalizzato in CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): la configurazione di un percorso permette di memorizzare registri per un tempo maggiore del periodo predefinito e analizzarli in un secondo momento.
+ Abilita [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo Account AWS. In essa sono inclusi il modo in cui le risorse sono correlate tra loro e il modo in cui erano configurate in precedenza, in modo da poter vedere il cambiamento di configurazioni e relazioni nel corso del tempo.
+ Abilita [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): Security Hub CSPM offre una panoramica generale del tuo assetto di sicurezza in AWS e ti aiuta a verificare la conformità rispetto a standard di sicurezza di settore e best practice. Security Hub CSPM raccoglie dati sulla sicurezza da Account AWS, servizi e prodotti di partner di terze parti e aiuta ad analizzare i trend di sicurezza e a identificare le problematiche di sicurezza con priorità maggiore.
## Risorse
**Documenti correlati:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Nozioni di base: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluzione dei partner per la sicurezza: registrazione e monitoraggio](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Video correlati:**
+ [ Centrally Monitoring Resource Configuration & Compliance (Monitoraggio centrale della configurazione e della conformità delle risorse) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correzione Amazon GuardDuty e risultati AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gestione delle minacce nel cloud: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)
**Esempi correlati:**
+ [ Laboratorio: Implementazione automatizzata di controlli di rilevamento ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP02 Analisi di log, risultati e parametri a livello centrale
i team delle operazioni di sicurezza confidano nella raccolta di log e nell'utilizzo di strumenti di ricerca per scoprire potenziali eventi di interesse, che potrebbero indicare attività non autorizzate o modifiche involontarie. Tuttavia, la semplice analisi dei dati raccolti e l'elaborazione manuale delle informazioni non sono sufficienti per tenere il passo con il volume di informazioni provenienti da architetture complesse. Le sole analisi e i soli resoconti non facilitano l'assegnazione delle risorse giuste per lavorare a un evento in modo adeguato e nei tempi giusti.
Una best practice per creare un team per le operazioni di sicurezza preparato è integrare profondamente il flusso degli eventi di sicurezza e le scoperte in un sistema di notifica e flusso di lavoro, come un sistema di ticketing, un sistema di bug o altri sistemi riguardanti le informazioni di sicurezza o la gestione degli eventi (SIEM). Ciò elimina il flusso di lavoro da e-mail e report statici e consente di instradare, inoltrare e gestire eventi o risultati. Molte organizzazioni integrano anche gli avvisi di sicurezza nelle loro piattaforme di chat, collaborazione e di produttività per sviluppatori. Per le aziende che intraprendono la strada dell'automazione, un sistema di ticketing basato su API a bassa latenza offre una notevole flessibilità quando si pianifica "cosa automatizzare prima".
Questa best practice si applica non solo agli eventi di sicurezza generati dai messaggi di log che illustrano l'attività degli utenti o gli eventi di rete, ma anche a quelli generati dalle modifiche rilevate nell'infrastruttura stessa. La possibilità di rilevare le modifiche, determinare se una modifica è appropriata e quindi instradare tali informazioni al flusso di lavoro di correzione adatto è essenziale per mantenere e convalidare un'architettura sicura, in un contesto di modifiche difficili da individuare come indesiderabili per impedirne l'esecuzione tramite una combinazione di configurazioni AWS Identity and Access Management(IAM) e AWS Organizations.
Amazon GuardDuty e AWS Security Hub CSPM forniscono meccanismi di aggregazione, deduplicazione e analisi per i record di log che vengono resi disponibili anche tramite altri servizi AWS. GuardDuty acquisisce, aggrega e analizza le informazioni da origini come AWS CloudTrail management and data events, log di VPC DNS e log di flusso VPC. Security Hub CSPM può acquisire, aggregare e analizzare output di GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager e un numero significativo di prodotti di sicurezza di terze parti disponibili in Marketplace AWS, nonché il codice proprietario, se è stato compilato in modo adeguato. Sia GuardDuty sia Security Hub CSPM hanno un modello membro-amministratore che può aggregare risultati e informazioni su più account. Inoltre, Security Hub CSPM viene spesso utilizzato dai clienti che dispongono di un sistema SIEM on-premise, come un preprocessore e aggregatore di avvisi e log lato AWS, da cui possono quindi acquisire Amazon EventBridge tramite un processore e un server di inoltro basati su AWS Lambda.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Valuta le opzioni per l'elaborazione dei log: valuta le opzioni disponibili per l'elaborazione dei log.
+ [Utilizza Amazon OpenSearch Service per registrare e monitorare (quasi) tutto ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [Individuazione di un partner specializzato in soluzioni di registrazione e monitoraggio ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ Come inizio per analizzare i log CloudTrail, testa Amazon Athena.
+ [ Configurazione di Athena per analizzare i log CloudTrail. ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ Implementa la registrazione centralizzata in AWS: guarda la soluzione di esempio AWS seguente per centralizzare le registrazioni da più origini.
+ [Centralize logging solution ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ Implementa la registrazione centralizzata con il partner: i partner APN hanno soluzioni per aiutarti ad analizzare i log centralmente.
+ [ Registrazione e Monitoraggio ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## Risorse
**Documenti correlati:**
+ [AWS Answers: Centralized Logging (AWS Answers: registrazione centralizzata) ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Nozioni di base: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluzione dei partner per la sicurezza: registrazione e monitoraggio](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Video correlati:**
+ [ Centrally Monitoring Resource Configuration & Compliance ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 Automazione delle risposte agli eventi
L'utilizzo dell'automazione per analizzare e correggere gli eventi riduce l'impegno e il rischio di errori umani e consente di dimensionare le capacità di analisi. Le revisioni periodiche ti aiuteranno a ottimizzare gli strumenti di automazione e a effettuare un'iterazione costante.
In AWS, è possibile analizzare gli eventi di interesse e le informazioni relative alle modifiche potenzialmente impreviste in un flusso di lavoro automatizzato utilizzando Amazon EventBridge. Questo servizio fornisce un motore di regole scalabile progettato per gestire sia i formati di eventi AWS nativi (ad esempio eventi AWS CloudTrail), sia gli eventi personalizzati che puoi generare dalla tua applicazione. Amazon GuardDuty consente inoltre di instradare gli eventi a un sistema di flusso di lavoro per i sistemi di risposta agli incidenti (AWS Step Functions), a un account di sicurezza centrale o a un bucket per ulteriori analisi.
È inoltre possibile rilevare le modifiche e instradare queste informazioni al flusso di lavoro corretto utilizzando Regole di AWS Config e [Pacchetti di conformità](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). AWS Config individua le modifiche ai servizi coperti (con una latenza maggiore rispetto a EventBridge) e genera eventi che possono essere analizzati tramite le regole di Regole di AWS Config per il rollback, per rafforzare le policy di conformità e per inviare le informazioni ai sistemi, ad esempio le piattaforme di gestione delle modifiche e i sistemi di ticketing operativi. Oltre a scrivere funzioni Lambda personalizzate per rispondere agli eventi di AWS Config, puoi utilizzare il [kit per lo sviluppo di regole di Regole di AWS Config](https://github.com/awslabs/aws-config-rdk)e una [libreria di](https://github.com/awslabs/aws-config-rules) Regole di AWS Config open source. I pacchetti di conformità sono una raccolta di Regole di AWS Config e di azioni di correzione che distribuisci come entità singola creata come modello YAML. Un [modello di pacchetto di conformità di esempio](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) è disponibile per il Well-Architected Security Pillar.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Implementa un avviso automatizzato con GuardDuty: GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio continuo per individuare attività dannose e comportamenti non autorizzati al fine di proteggere carichi di lavoro e Account AWS. Abilita GuardDuty e configura gli avvisi automatici.
+ Automatizza i processi di indagine: sviluppa processi automatizzati per indagare su un evento e riferire informazioni a un amministratore per risparmiare tempo.
+ [ Laboratorio: Amazon GuardDuty hands on ](https://hands-on-guardduty.awssecworkshops.com/)
## Risorse
**Documenti correlati:**
+ [AWS Answers: Centralized Logging (AWS Answers: registrazione centralizzata) ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Nozioni di base: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluzione dei partner per la sicurezza: registrazione e monitoraggio](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Configurazione di Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**Video correlati:**
+ [ Centrally Monitoring Resource Configuration & Compliance ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**Esempi correlati:**
+ [Laboratorio: Distribuzione automatizzata di controlli di rilevamento ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 Implementazione di eventi di sicurezza fruibili
Crea e invia al tuo team avvisi fruibili. Assicurati che includano informazioni pertinenti affinché il team possa intervenire. per ogni meccanismo di rilevamento di cui disponi, devi disporre anche di un processo, sotto forma di [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) oppure [playbook](https://wa.aws.amazon.com/wat.concept.playbook.en.html), da analizzare. Ad esempio, quando abiliti [Amazon GuardDuty](http://aws.amazon.com/guardduty), vengono generati [risultati diversi](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). È necessario disporre di una voce runbook per ogni tipo di risultato; ad esempio, se viene rilevato un [trojan](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) , il runbook contiene istruzioni semplici che indicano come eseguire l'analisi e correggere il problema.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Identificazione delle metriche disponibili per i servizi AWS: scopri le metriche a disposizione attraverso Amazon CloudWatch per i servizi in uso.
+ [Documentazione del servizio AWS](https://aws.amazon.com/documentation/)
+ [Utilizzare i parametri Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Configurazione degli avvisi Amazon CloudWatch.
+ [Utilizzo degli allarmi di Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Risorse
**Documenti correlati:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [Soluzione dei partner per la sicurezza: registrazione e monitoraggio](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Video correlati:**
+ [ Centrally Monitoring Resource Configuration & Compliance (Monitoraggio centrale della configurazione e della conformità delle risorse) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correzione Amazon GuardDuty e risultati AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gestione delle minacce nel cloud: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)
# Protezione dell’infrastruttura
**Topics**
+ [SEC 5 In che modo proteggi le risorse di rete?](w2aac19b7c11b5.md)
+ [SEC 6 In che modo proteggi le risorse di calcolo?](w2aac19b7c11b7.md)
# SEC 5 In che modo proteggi le risorse di rete?
Qualsiasi carico di lavoro che abbia una qualche forma di connettività di rete, che si tratti di Internet o di una rete privata, richiede più livelli di difesa per proteggere da minacce esterne e interne basate sulla rete.
**Topics**
+ [SEC05-BP01 Creazione di livelli di rete](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Controllo del traffico a tutti i livelli](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatizzazione della protezione di rete](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Implementazione di funzioni di ispezione e protezione](sec_network_protection_inspection.md)
# SEC05-BP01 Creazione di livelli di rete
Raggruppa i componenti che condividono requisiti di raggiungibilità in vari livelli. Ad esempio, un cluster di database in un VPC senza necessità di accesso a Internet deve essere posizionato in sottoreti senza routing da o verso Internet. In un carico di lavoro serverless che opera senza un VPC, livelli e segmentazione simili con microservizi possono raggiungere lo stesso obiettivo.
Componenti come istanze Amazon Elastic Compute Cloud (Amazon EC2), cluster di database Amazon Relational Database Service (Amazon RDS) e funzioni AWS Lambda che condividono i requisiti di raggiungibilità possono essere segmentati in livelli formati da sottoreti. Ad esempio, un cluster di database Amazon RDS in un VPC senza necessità di accesso a Internet deve essere posizionato in sottoreti senza routing da o verso Internet. Questo approccio a più livelli per i controlli mitiga l'impatto di una configurazione errata di un livello singolo, che potrebbe consentire l'accesso involontario. Per Lambda, è possibile eseguire le funzioni nel VPC per sfruttare i controlli basati su VPC.
Per la connettività di rete che può includere migliaia di VPC, account AWS e reti on-premise, è consigliabile utilizzare [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Funge da hub che controlla il modo in cui il traffico viene instradato tra tutte le reti connesse, che agiscono come raggi. Il traffico tra Amazon Virtual Private Cloud e AWS Transit Gateway rimane sulla rete privata AWS, riducendo i vettori di minacce esterni, ad esempio attacchi DDoS (Distributed Denial of Service) ed exploit comuni, come iniezione SQL, script tra siti, false richieste tra siti o uso illecito del codice di autenticazione. Il peering AWS Transit Gateway tra Regioni crittografa il relativo traffico senza un singolo punto di errore o un collo di bottiglia a livello di banda.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Creazione di sottoreti in VPC: crea sottoreti per ogni livello (in gruppi che includono più zone di disponibilità) e associa tabelle di instradamento per controllare il routing.
+ [VPC e sottoreti ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [Tabelle di instradamento ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
## Risorse
**Documenti correlati:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Sicurezza Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Nozioni di base su AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Video correlati:**
+ [AWS Transit Gateway reference architectures for many VPCs (Architetture di referenza AWS Transit Gateway per molti VPC) ](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Accelerazione e protezione delle applicazioni con Amazon CloudFront, AWS Web Application Firewall e AWS Shield)](https://youtu.be/0xlwLEccRe0)
**Esempi correlati:**
+ [Laboratorio: Implementazione automatizzata di VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP02 Controllo del traffico a tutti i livelli
durante la progettazione della topologia di rete, è necessario esaminare i requisiti di connettività di ciascun componente. Ad esempio, va esaminato se un componente richiede accessibilità a Internet (in entrata e in uscita), connettività a VPC, servizi edge e data center esterni.
Un VPC consente di definire la topologia di rete che si estende su una regione Regione AWS con un intervallo di indirizzi IPv4 privati impostato dall'utente o un intervallo di indirizzi IPv6 selezionato da AWS. È necessario applicare più controlli con un approccio di difesa avanzata sia per il traffico in entrata che per quello in uscita, tra cui l'uso di gruppi di sicurezza (firewall di ispezione stateful), liste di controllo degli accessi di rete, sottoreti e tabelle di routing. All'interno di un VPC, puoi creare sottoreti in una zona di disponibilità. Ogni sottorete può avere una tabella di routing associata che definisce le regole di instradamento per la gestione dei percorsi del traffico all'interno della sottorete. Puoi definire una sottorete Internet instradabile tramite un percorso che va a un gateway Internet o NAT collegato al VPC o attraverso un altro VPC.
Un'istanza, un database Amazon Relational Database Service(Amazon RDS) o un altro servizio che viene avviato all'interno di un VPC ha un proprio gruppo di sicurezza per interfaccia di rete. Questo firewall è esterno al livello del sistema operativo e può essere utilizzato per definire le regole per il traffico consentito in entrata e in uscita. Puoi anche definire le relazioni tra i gruppi di sicurezza. Ad esempio, le istanze all'interno di un gruppo di sicurezza a livello di database accettano solo il traffico dalle istanze all'interno del livello dell'applicazione, in riferimento ai gruppi di sicurezza applicati alle istanze coinvolte. A meno che non utilizzi protocolli non TCP, non dovrebbe essere necessario disporre di un'istanza Amazon Elastic Compute Cloud(Amazon EC2) accessibile direttamente da internet (anche con porte limitate da gruppi di sicurezza) senza un sistema di bilanciamento del carico o [CloudFront](https://aws.amazon.com/cloudfront). Questo aiuta a proteggerla da accessi non intenzionali dovuti a un problema del sistema operativo o dell'applicazione. Una sottorete può anche avere una lista di controllo degli accessi di rete collegata, che funge da firewall stateless. È necessario configurare la lista di controllo degli accessi di rete per limitare l'ambito del traffico consentito tra i livelli; tieni presente che è necessario definire le regole sia in entrata che in uscita.
Alcuni servizi AWS richiedono dei componenti per accedere a internet per le chiamate API, in cui [si trovano gli endpoint API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) . Altri servizi AWS usano [Endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) all'interno dei Amazon VPC. Molti servizi AWS, tra cui Amazon S3 e Amazon DynamoDB, supportano gli endpoint VPC e questa tecnologia è stata generalizzata in [AWS PrivateLink](https://aws.amazon.com/privatelink/). Ti consigliamo di usare questo approccio per accedere ai servizi AWS, ai servizi di terze parti e ai servizi proprietari ospitati in sicurezza in altri VPC. Tutto il traffico di rete su AWS PrivateLink rimane sul backbone AWS globale e non attraversa mai internet. La connettività può solo essere avviata dal consumatore del servizio e non dal provider del servizio. Usando l'accesso AWS PrivateLink per i servizi esterni è possibile creare VPC isolati senza accesso a internet e proteggere i VPC da vettori di minacce esterni. I servizi di terze parti possono usare AWS PrivateLink per consentire ai propri clienti di connettersi ai servizi dai propri VPC su indirizzi IP privati. Per gli asset del VPC che devono effettuare connessioni in uscita a Internet, queste possono essere effettuate solo in uscita (unidirezionale) tramite un gateway NAT gestito da AWS, un gateway Internet per connessioni solo in uscita o proxy Web creati e gestiti dall'utente.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Controlla il traffico di rete in un VPC: implementa le best practice di VPC per controllare il traffico.
+ [Sicurezza Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [Endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Gruppo di sicurezza Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [ACL di rete](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ Controlla il traffico a livello di edge: implementa servizi edge, come Amazon CloudFront, per fornire un ulteriore livello di protezione e altre funzionalità.
+ [Casi d'uso Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC Ingress Routing](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ Controlla il traffico di rete privato: implementa servizi in grado di proteggere il traffico privato per il carico di lavoro.
+ [Amazon VPC Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC Endpoint Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Amazon S3 Access Points](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## Risorse
**Documenti correlati:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Nozioni di base su AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Video correlati:**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Esempi correlati:**
+ [Laboratorio: Distribuzione automatizzata di VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 Automatizzazione della protezione di rete
Automatizza i meccanismi di protezione per creare una rete in grado di difendersi da sola grazie alle informazioni sulle minacce e al rilevamento delle anomalie. Ad esempio, strumenti di rilevamento e prevenzione delle intrusioni in grado di adattarsi alle minacce attuali e di ridurre il loro impatto. Un firewall per applicazioni Web è un esempio di dove è possibile automatizzare la protezione della rete, ad esempio utilizzando la soluzione Automatismi di sicurezza di AWS WAF ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) per bloccare automaticamente le richieste provenienti da indirizzi IP associati a noti attori di minacce.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Automatizza la protezione per il traffico basato sul Web: AWS offre una soluzione che usa AWS CloudFormation per distribuire automaticamente una serie di regole AWS WAF progettate per filtrare gli attacchi comuni basati sul Web. Gli utenti hanno la possibilità di scegliere tra caratteristiche di protezione preconfigurate che definiscono le regole incluse in una lista di controllo accessi Web (ACL Web) di AWS WAF.
+ [Automazioni di sicurezza AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ Considera le soluzioni AWS Partner: i partner AWS offrono centinaia di prodotti leader nel settore che sono equivalenti, identici o si integrano ai controlli esistenti negli ambienti on-premise. Questi prodotti integrano i servizi AWS esistenti per permettere di distribuire un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti on-premise.
+ [Sicurezza dell'infrastruttura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Risorse
**Documenti correlati:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Sicurezza di Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Nozioni di base su AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Video correlati:**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Esempi correlati:**
+ [Laboratorio: Distribuzione automatizzata di VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 Implementazione di funzioni di ispezione e protezione
Ispeziona e filtra il traffico a ogni livello. Puoi ispezionare le configurazioni VPC per rilevare potenziali accessi indesiderati con [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Puoi specificare i requisiti di accesso alla rete e individuare percorsi di rete potenziali che non li soddisfano. Per i componenti che eseguono transazioni tramite protocolli basati su HTTP, un firewall per applicazioni Web può aiutare a proteggere dagli attacchi comuni. [AWS WAF](https://aws.amazon.com/waf) è un firewall per applicazioni Web che consente di monitorare e bloccare le richieste HTTP che corrispondono alle regole configurabili inoltrate a un'API di Amazon API Gateway, ad Amazon CloudFront o a un Application Load Balancer. Per iniziare a usare AWS WAF, puoi utilizzare [Regole gestite da AWS](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) in combinazione con le tue oppure puoi utilizzare [integrazioni dei partner esistenti](https://aws.amazon.com/waf/partners/).
Per gestire le protezioni di AWS WAF, AWS Shield Advanced e i gruppi di sicurezza di Amazon VPC in AWS Organizations, puoi utilizzare AWS Firewall Manager. Questo consente di configurare e gestire centralmente le regole del firewall tra gli account e le applicazioni, rendendo più semplice il dimensionamento dell'applicazione delle regole comuni. Consente inoltre di rispondere rapidamente agli attacchi utilizzando [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)o [soluzioni](https://aws.amazon.com/solutions/aws-waf-security-automations/) che bloccano automaticamente le richieste indesiderate alle applicazioni Web. Firewall Manager funziona anche con [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall è un servizio gestito che usa un motore di regole per garantire un controllo granulare sul traffico di rete stateful e stateless. Supporta le specifiche [dell'intrusion prevention system (IPS)](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) open source compatibile con Suricata per le regole che contribuiscono alla protezione del carico di lavoro.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Configura Amazon GuardDuty: GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio continuo per individuare attività dannose e comportamenti non autorizzati al fine di proteggere carichi di lavoro e account Account AWS. Abilita GuardDuty e configura gli avvisi automatici.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [Laboratorio: Distribuzione automatizzata di controlli di rilevamento](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Configura i log di flusso del cloud privato virtuale (VPC): Log di flusso VPC è una funzione che ti permette di acquisire informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo VPC. I dati del log di flusso possono essere pubblicati su Amazon CloudWatch Logs e Amazon Simple Storage Service (Amazon S3). Dopo aver creato un log di flusso, puoi recuperarne e visualizzarne i dati nella destinazione scelta.
+ Considera il mirroring del traffico VPC: il mirroring del traffico è una caratteristica di Amazon VPC che puoi utilizzare per copiare il traffico di rete da un'interfaccia di rete elastica di istanze Amazon Elastic Compute Cloud (Amazon EC2) e quindi inviarlo ad appliance di sicurezza e monitoraggio fuori banda per l'ispezione dei contenuti, il monitoraggio delle minacce e la risoluzione dei problemi.
+ [Mirroring del traffico del VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## Risorse
**Documenti correlati:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Sicurezza Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Nozioni di base su AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Video correlati:**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Esempi correlati:**
+ [Laboratorio: Distribuzione automatizzata di VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 In che modo proteggi le risorse di calcolo?
Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne ed interne. Le risorse di calcolo includono istanze EC2, container, funzioni di AWS Lambda, servizi di database, dispositivi IoT e altro.
**Topics**
+ [SEC06-BP01 Gestione delle vulnerabilità](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Riduzione della superficie d'attacco](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Implementazione di servizi gestiti](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatizzazione della protezione delle risorse di calcolo](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Concessione del permesso di eseguire azioni a distanza](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Convalida dell'integrità del software](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 Gestione delle vulnerabilità
Scansiona e correggi frequentemente le vulnerabilità del codice, delle dipendenze e dell'infrastruttura per proteggere da nuove minacce.
Partendo dalla configurazione della tua infrastruttura di calcolo, puoi automatizzare la creazione e l'aggiornamento delle risorse tramite AWS CloudFormation. CloudFormation consente di creare modelli scritti in YAML o JSON, tramite esempi AWS o scrivendone di propri. In questo modo è possibile creare modelli di infrastruttura sicuri per impostazione predefinita che puoi verificare con [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), per risparmiare tempo e diminuire il rischio di errori di configurazione. Puoi creare la tua infrastruttura e distribuire le tue applicazioni tramite la distribuzione continua, ad esempio con [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), per automatizzare le fasi di creazione, test e rilascio.
Sei responsabile della gestione delle patch per le tue risorse AWS, incluse le istanze Amazon Elastic Compute Cloud (Amazon EC2), Amazon Machine Images (AMI) e molte altre risorse di calcolo. Per le istanze Amazon EC2, AWSSystems Manager Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo. Puoi utilizzare il gestore patch per applicare patch sia per i sistemi operativi sia per le applicazioni. (Sul server di Windows, il supporto per le applicazioni è limitato agli aggiornamenti per le applicazioni Microsoft). Puoi usare Patch Manager per installare i Service Pack sulle istanze Windows ed eseguire aggiornamenti minori di versione sulle istanze Linux. Puoi applicare le patch ai parchi delle istanze Amazon EC2 o ai server on-premise e alle macchine virtuali (VM) secondo il tipo di sistema operativo. Questo comprende le versioni supportate dei server Windows, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) e Ubuntu Server. Puoi eseguire la scansione delle istanze per visualizzare solo un report delle patch mancanti oppure puoi eseguire la scansione e installare automaticamente tutte le patch mancanti.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Configura Amazon Inspector: Amazon Inspector testa l'accessibilità della rete delle tue istanze Amazon Elastic Compute Cloud (Amazon EC2) e lo stato di sicurezza delle applicazioni eseguite su tali istanze. Amazon Inspector valuta le applicazioni relativamente a esposizione, vulnerabilità e deviazioni dalle best practice.
+ [What is Amazon Inspector? (What is Amazon Inspector?)](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ Esegui la scansione del codice sorgente: esegui la scansione di librerie e dipendenze per rilevare eventuali vulnerabilità.
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP: strumenti di analisi del codice sorgente](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## Risorse
**Documenti correlati:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Sostituzione di un host bastione con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Panoramica sulla sicurezza di AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video correlati:**
+ [Esecuzione di carichi di lavoro con livello di sicurezza elevato su Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Best practice di sicurezza per il servizio di metadati dell'istanza Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Esempi correlati:**
+ [Laboratorio: Distribuzione automatizzata di firewall per applicazioni Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 Riduzione della superficie d'attacco
Riduci la superficie di attacco ad accessi non intenzionali attraverso la protezione avanzata dei sistemi operativi e riducendo al minimo i componenti, le librerie e i servizi di consumo esterni in uso. lnizia riducendo i componenti inutilizzati, siano essi pacchetti del sistema operativo o applicazioni per carichi di lavoro basati su Amazon Elastic Compute Cloud (Amazon EC2) o moduli software esterni nel codice (per tutti i carichi di lavoro). Esistono molte guide per la configurazione della protezione avanzata e della sicurezza dei sistemi operativi e dei software dei server comuni. Ad esempio, puoi iniziare dal [Center for Internet Security](https://www.cisecurity.org/) e iterare.
In Amazon EC2 puoi creare Amazon Machine Image (AMI), con patch e rafforzamento, per soddisfare i requisiti di sicurezza specifici della tua organizzazione. Le patch e altri controlli di sicurezza che applichi sulle AMI diventano effettivi nel momento in cui vengono creati: non sono dinamici, a meno che tu non decida di modificarli subito dopo l'avvio, ad es. con AWS Systems Manager.
Puoi semplificare il processo di creazione di AMI sicure con EC2 Image Builder. EC2 Image Builder riduce in modo significativo l'impegno richiesto per creare e mantenere immagini "golden" senza scrivere e aggiornare la manutenzione. Quando sono disponibili gli aggiornamenti software, Image Builder produce automaticamente una nuova immagine senza richiedere agli utenti di iniziare una creazione manuale. EC2 Image Builder consente di convalidare con facilità la funzionalità e la sicurezza delle immagini prima di usarle in produzione con test tuoi e forniti da AWS. Puoi anche applicare impostazioni di sicurezza fornite da AWS per proteggere ulteriormente le immagine e rispettare i criteri di sicurezza interni, Ad esempio, puoi produrre immagini conformi allo standard Security Technical Implementation Guide (STIG) con modelli forniti da AWS.
Con l'utilizzo di strumenti di analisi del codice statico di terze parti puoi identificare problemi di sicurezza comuni, ad esempio limiti di input delle funzioni non controllati e CVE applicabili. Puoi utilizzare [Amazon CodeGuru](https://aws.amazon.com/codeguru/) per le lingue supportate. Possono anche essere utilizzati strumenti di controllo delle dipendenze per stabilire se le librerie a cui si collega il codice sono le versioni più recenti, se le stesse sono prive di CVE e se le condizioni di licenza soddisfano i requisiti delle policy del software.
Con Amazon Inspector puoi eseguire valutazioni della configurazione a fronte delle istanze per CVE note, confrontare i valori rispetto a benchmark di sicurezza e automatizzare la notifica dei difetti. Amazon Inspector viene eseguito sulle istanze di produzione o in una pipeline di compilazione e invia una notifica agli sviluppatori e agli ingegneri quando sono disponibili nuovi risultati. Puoi accedere in modo programmatico ai risultati e indirizzare i tuoi team ai sistemi di backlog e rilevamento dei bug. [EC2 Image Builder](https://aws.amazon.com/image-builder/) può essere utilizzato per mantenere le immagini del server (AMI) tramite l'applicazione di patch automatizzata, l'applicazione di policy di sicurezza fornite da AWS e altre personalizzazioni. Quando utilizzi i container, implementa la [scansione delle immagini ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) nella pipeline di compilazione regolarmente confrontandola con il repository di immagini per cercare le CVE nei container.
Anche se Amazon Inspector e altri strumenti sono efficaci per identificare configurazioni ed eventuali CVE presenti, sono necessari altri metodi per testare il carico di lavoro a livello di applicazione. [Il fuzzing](https://owasp.org/www-community/Fuzzing) è un metodo noto di individuazione dei bug mediante l'automazione per inserire dati malformati nei campi di input e in altre aree dell'applicazione.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Rafforzamento del sistema operativo: configura i sistemi operativi per adeguarli alle best practice.
+ [Protezione di Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Protezione di Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ Rafforzamento delle risorse containerizzate: configura le risorse containerizzate per la conformità alle best practice in materia di sicurezza.
+ Implementa le best practice AWS Lambda.
+ [Best practice di AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## Risorse
**Documenti correlati:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Sostituzione di un host bastione con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Panoramica sulla sicurezza di AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video correlati:**
+ [Esecuzione di carichi di lavoro con livello di sicurezza elevato su Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Best practice di sicurezza per il servizio di metadati dell'istanza Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Esempi correlati:**
+ [Laboratorio: Distribuzione automatizzata di firewall per applicazioni Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 Implementazione di servizi gestiti
Implementa servizi che gestiscono le risorse, ad esempio Amazon Relational Database Service (Amazon RDS), AWS Lambda e Amazon Elastic Container Service (Amazon ECS), per ridurre le attività di manutenzione della sicurezza nell'ambito del modello di responsabilità condivisa. Ad esempio, Amazon RDS aiuta a configurare, gestire e dimensionare un database relazionale e automatizza le attività di amministrazione quali provisioning di hardware, configurazione di database, applicazione di patch e backup. Ciò significa che hai più tempo libero per concentrarti sulla protezione dell'applicazione in altri modi descritti nel Framework AWS Well-Architected. Lambda consente di eseguire il codice senza dover effettuare il provisioning o gestire server, perciò è sufficiente focalizzarsi su connettività, invocazione e sicurezza a livello di codice, anziché sull'infrastruttura o sul sistema operativo.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Identificazione dei servizi disponibili: esplora, testa e implementa servizi che gestiscono le risorse, come Amazon RDS, AWS Lambda e Amazon ECS.
## Risorse
**Documenti correlati:**
+ [ Sito Web AWS](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Sostituzione di un host bastione con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Panoramica sulla sicurezza di AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video correlati:**
+ [Esecuzione di carichi di lavoro con livello di sicurezza elevato su Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Best practice di sicurezza per il servizio di metadati dell'istanza Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Esempi correlati:**
+ [Laboratorio: Richiesta di certificati pubblichi da parte di Gestione certificati AWS](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 Automatizzazione della protezione delle risorse di calcolo
Automatizza i meccanismi di protezione delle risorse di calcolo, tra cui la gestione delle vulnerabilità, la riduzione della superficie di attacco e la gestione delle risorse. L'automazione ti consentirà di investire tempo nella protezione di altri aspetti del carico di lavoro e di ridurre il rischio di errori umani.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Automazione della gestione della configurazione: applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Laboratorio: Implementazione automatizzata di VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [Laboratorio: Implementazione automatizzata di applicazioni Web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Automazione dell'applicazione delle patch alle istanze Amazon Elastic Compute Cloud (Amazon EC2): AWS Systems Manager Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo. Puoi utilizzare il gestore patch per applicare patch sia per i sistemi operativi sia per le applicazioni.
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Applicazione di patch centralizzata multi-regione e muli-account con AWS Systems Manager Automation.](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ Implementazione della prevenzione e del rilevamento delle intrusioni: implementa uno strumento di rilevamento e prevenzione delle intrusioni per monitorare e bloccare le attività sospette sulle istanze.
+ Considerazione delle soluzioni AWS Partner: i partner AWS offrono centinaia di prodotti leader nel settore che sono equivalenti, identici o si integrano ai controlli esistenti negli ambienti on-premise. Questi prodotti integrano i servizi AWS esistenti per permettere di implementare un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti on-premise.
+ [Sicurezza dell'infrastruttura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Risorse
**Documenti correlati:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Applicazione di patch centralizzata multi-regione e muli-account con AWS Systems Manager Automation.](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [Sicurezza dell'infrastruttura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Sostituzione di un host bastione con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Panoramica sulla sicurezza di AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video correlati:**
+ [Esecuzione di carichi di lavoro con livello di sicurezza elevato su Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Best practice di sicurezza per il servizio di metadati dell'istanza Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Esempi correlati:**
+ [Laboratorio: Implementazione automatizzata di firewall per applicazioni Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [Laboratorio: Implementazione automatizzata di applicazioni Web EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 Concessione del permesso di eseguire azioni a distanza
Eliminare la possibilità di accesso interattivo riduce il rischio di errore umano e la potenziale configurazione o gestione manuale. Ad esempio, utilizza un flusso di lavoro per la gestione delle modifiche per distribuire le istanze Amazon Elastic Compute Cloud (Amazon EC2) tramite infrastructure-as-code, quindi gestire le istanze Amazon EC2 utilizzando strumenti come AWS Systems Manager invece di consentire l'accesso diretto o tramite un host bastione. AWS Systems Manager può automatizzare un'ampia gamma di attività di manutenzione e distribuzione utilizzando funzionalità quali [automazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [di automazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [documenti](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (playbook) e il [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Gli stack di AWS CloudFormation si basano su pipeline e possono automatizzare le attività di distribuzione e gestione dell'infrastruttura senza utilizzare direttamente la Console di gestione AWS o le API.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Sostituisci l'accesso della console: sostituisci l'accesso via console (SSH o RDP) alle istanze con AWS Systems Manager Run Command per automatizzare le attività di gestione.
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## Risorse
**Documenti correlati:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Sostituzione di un host bastione con Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Panoramica sulla sicurezza di AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Video correlati:**
+ [Esecuzione di carichi di lavoro con livello di sicurezza elevato su Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY)
+ [Best practice di sicurezza per il servizio di metadati dell'istanza Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Esempi correlati:**
+ [Laboratorio: Distribuzione automatizzata di firewall per applicazioni Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 Convalida dell'integrità del software
Implementa meccanismi (ad esempio la firma del codice) per verificare che il software, il codice e le librerie utilizzati nel carico di lavoro provengano da origini attendibili e non siano stati manomessi. Ad esempio, devi verificare il certificato di firma del codice dei file binari e degli script per confermare l'autore e accertarti che non sia stato manomesso da quando è stato creato dall'autore. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) può aiutare a garantire l'affidabilità e l'integrità del tuo codice tramite una sua gestione centralizzata, registrando il ciclo di vita, incluso la registrazione delle certificazioni e delle chiavi pubbliche e private. Puoi imparare come usare modelli avanzati e best practice per la registrazione del codice con [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Inoltre, un confronto tra il checksum del software scaricato e quello del provider può garantire che non sia stato manomesso.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Analizza i meccanismi: la firma del codice è uno dei meccanismi utili per convalidare l'integrità del software.
+ [NIST: considerazioni sulla sicurezza per la registrazione del codice](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## Risorse
**Documenti correlati:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Nuovo – Code Signing, a Trust and Integrity Control for AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# Protezione dei dati
**Topics**
+ [SEC 7 In che modo classifichi i dati?](w2aac19b7c13b5.md)
+ [SEC 8 In che modo proteggi i dati inattivi?](w2aac19b7c13b7.md)
+ [SEC 9 In che modo proteggi i dati in transito?](w2aac19b7c13b9.md)
# SEC 7 In che modo classifichi i dati?
La classificazione fornisce un modo per categorizzare i dati in base ai livelli di criticità e sensibilità, in modo da aiutarti a determinare i controlli di protezione e conservazione appropriati.
**Topics**
+ [SEC07-BP01 Identificazione dei dati all'interno del carico di lavoro](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Definizione dei controlli di protezione dei dati](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automazione dell'identificazione e della classificazione](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Definizione della gestione del ciclo di vita dei dati](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identificazione dei dati all'interno del carico di lavoro
è necessario comprendere il tipo e la classificazione dei dati elaborati dal carico di lavoro, i processi aziendali associati, il proprietario dei dati, i requisiti legali e di conformità applicabili, il luogo di archiviazione e i controlli risultanti da applicare. Ciò può includere classificazioni per indicare se i dati sono destinati a essere disponibili al pubblico, se i dati sono solo di uso interno, ad esempio informazioni che consentono l'identificazione personale del cliente (PII, Personally Identifiable Information), oppure se i dati riguardano un accesso più limitato, ad esempio relativi alla proprietà intellettuale, dati confidenziali o sensibili e altro ancora. L'attenta gestione di un sistema appropriato di classificazione dei dati e dei requisiti di protezione di ciascun livello del carico di lavoro consente di mappare i controlli e il livello di accesso/protezione dei dati adeguato. Ad esempio, i contenuti destinati al pubblico sono accessibili a tutti, ma i contenuti importanti sono crittografati e archiviati in modo protetto e richiedono l'accesso autorizzato a una chiave per essere decrittati.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Prendi in considerazione la possibilità di scoprire i dati con Amazon Macie: Macie riconosce i dati sensibili, come le Informazioni personali di identificazione (PII) o la proprietà intellettuale.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## Risorse
**Documenti correlati:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [Whitepaper sulla classificazione dei dati](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Nozioni di base su Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Video correlati:**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 Definizione dei controlli di protezione dei dati
Proteggi i dati in base al livello di classificazione. Ad esempio, puoi mettere in sicurezza le informazioni classificate come pubbliche utilizzando raccomandazioni pertinenti e allo stesso tempo proteggere i dati sensibili con controlli aggiuntivi.
Utilizzando tag di risorse, account AWS separati per livelli di sensibilità (e potenzialmente anche per avvertimento/enclave/community di interesse), policy IAM, SCP di AWS Organizations, AWS Key Management Service (AWS KMS) e AWS CloudHSM, puoi definire e implementare le policy per la classificazione e la protezione dei dati tramite la crittografia. Ad esempio, se in un progetto sono presenti bucket S3 che contengono dati estremamente critici o istanze Amazon Elastic Compute Cloud (Amazon EC2) che elaborano dati riservati, essi possono essere contrassegnati con un tag `Project=ABC` . Solo il team ristretto conosce il significato del codice del progetto e rappresenta un modo per utilizzare il controllo degli accessi basato su attributi. Puoi definire i livelli di accesso alle chiavi di crittografia AWS KMS tramite policy e concessioni delle chiavi per garantire che solo i servizi appropriati abbiano accesso ai contenuti sensibili tramite un meccanismo sicuro. Se prendi decisioni in merito alle autorizzazioni in base ai tag, devi assicurarti che le autorizzazioni sui tag siano definite in modo appropriato utilizzando le policy dei tag in AWS Organizations.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Definizione dello schema di identificazione e classificazione dei dati: l'identificazione e la classificazione dei dati è utile a valutare l'impatto potenziale e il tipo di dati archiviati e a stabilire chi può accedervi.
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
+ Identificazione dei controlli AWS disponibili: scopri i controlli di sicurezza per i servizi AWS che stai utilizzando o che intendi utilizzare. Molti servizi dispongono di una sezione sulla sicurezza nella documentazione.
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
+ Identificazione delle risorse di conformità AWS: identifica le risorse che AWS mette a disposizione per facilitare i processi di conformità.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Risorse
**Documenti correlati:**
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
+ [Whitepaper sulla classificazione dei dati](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Nozioni di base su Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Testo mancante](https://aws.amazon.com/compliance/)
**Video correlati:**
+ [Introducing the New Amazon Macie (Presentazione del nuovo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automazione dell'identificazione e della classificazione
automatizzare l'identificazione e la classificazione dei dati può aiutarti a implementare i controlli corretti. L'utilizzo dell'automazione per queste operazioni invece dell'accesso diretto da parte di una persona riduce il rischio di errori umani e di esposizione delle persone. È consigliabile valutare l'utilizzo di uno strumento, ad esempio [Amazon Macie](https://aws.amazon.com/macie/), che utilizza il machine learning per rilevare, classificare e proteggere automaticamente i dati sensibili in AWS. Amazon Macie riconosce i dati sensibili, quali informazioni personali di identificazione (PII) o di proprietà intellettuale e fornisce pannelli di controllo e allarmi che offrono visibilità su come viene effettuato l'accesso a tali dati o come vengono spostati.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Utilizzo di Amazon Simple Storage Service (Amazon S3) Inventory: Amazon S3 Inventory è uno degli strumenti che utilizzabili per eseguire audit e segnalare lo stato di replica e crittografia degli oggetti.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Considerazione di Amazon Macie: Amazon Macie sfrutta il machine learning per scoprire e classificare automaticamente i dati archiviati in Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Risorse
**Documenti correlati:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Whitepaper sulla classificazione dei dati](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Nozioni di base su Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Video correlati:**
+ [Introducing the New Amazon Macie (Presentazione del nuovo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Definizione della gestione del ciclo di vita dei dati
la strategia del ciclo di vita definita deve basarsi sul livello di sensibilità e sui requisiti legali e aziendali. Gli aspetti da considerare includono la durata di conservazione dei dati, i processi di distruzione dei dati, la gestione degli accessi ai dati, la trasformazione dei dati e la condivisione dei dati. Nella scelta di una metodologia di classificazione dei dati, è necessario valutare l'usabilità rispetto all'accesso. Devi inoltre gestire vari livelli di accesso e particolarità per implementare un approccio sicuro e utilizzabile per ogni livello. Utilizza sempre un approccio di difesa avanzata e riduci l'accesso umano ai dati e ai meccanismi per trasformare, eliminare o copiare i dati. Ad esempio, richiedi agli utenti di effettuare l'autenticazione in un'applicazione e fornisci all'applicazione, anziché agli utenti, l'autorizzazione di accesso necessaria per eseguire "operazioni a distanza". Inoltre, assicurati che gli utenti provengano da un percorso di rete sicuro e richiedi l'accesso alle chiavi di decrittografia. Utilizza strumenti, pannelli di controllo e generazione di report automatizzata, per fornire agli utenti informazioni ricavate dai dati piuttosto che concedere loro l'accesso diretto ai dati.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Identifica i tipi di dati: identifica i tipi di dati che stai archiviando o elaborando nel carico di lavoro. Questi potrebbero consistere in testo, immagini, database binari e così via.
## Risorse
**Documenti correlati:**
+ [Whitepaper sulla classificazione dei dati](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Nozioni di base su Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Video correlati:**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8 In che modo proteggi i dati inattivi?
Proteggi i dati inattivi implementando più controlli, per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri.
**Topics**
+ [SEC08-BP01 Implementazione della gestione sicura delle chiavi](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Applicazione della crittografia dei dati inattivi](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatizzazione della protezione dei dati a riposo](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Applicazione del controllo degli accessi](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Utilizzo di meccanismi per tenere le persone a distanza dai dati](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implementazione della gestione sicura delle chiavi
Definendo un approccio alla crittografia che include l'archiviazione, la rotazione e il controllo degli accessi delle chiavi, proteggi i tuoi contenuti da utenti non autorizzati e dall'esposizione superflua a utenti autorizzati. AWS Key Management Service (AWS KMS) ti aiuta a gestire le chiavi di crittografia e [si integra con molti servizi AWS](https://aws.amazon.com/kms/details/#integration). Si tratta di un servizio che fornisce un'archiviazione durevole, sicura e ridondante per le tue chiavi AWS KMS. Puoi definire i tuoi alias delle chiavi e le policy a livello di chiave. Le policy ti aiutano a definire gli amministratori della chiave e i suoi utenti. Inoltre, AWS CloudHSM è un modulo di sicurezza hardware (HSM, Hardware Security Module) basato sul cloud che consente di generare e utilizzare chiavi di crittografia personalizzate nel Cloud AWS. Ti aiuta a rispettare i requisiti di conformità aziendali, contrattuali e normativi per la sicurezza dei dati utilizzando HSM conformi allo standard FIPS 140-2 Level 3.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Implementazione di AWS KMS: AWS KMS semplifica la creazione e la gestione di chiavi e controlla l'uso della crittografia in un'ampia gamma di servizi AWS e nelle tue applicazioni. AWS KMS è un servizio sicuro e resiliente che usa moduli di sicurezza hardware convalidati FIPS 140-2 per proteggere le tue chiavi.
+ [Nozioni di base: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Considerazione dell'SDK di crittografia AWS: utilizza l'SDK di crittografia AWS con integrazione di AWS KMS quando la tua applicazione richiede la crittografia dei dati lato client.
+ [SDK di crittografia AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Risorse
**Documenti correlati:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Servizi e strumenti di crittografia di AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Nozioni di base: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protezione dei dati Amazon S3 tramite la crittografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Video correlati:**
+ [Come funziona la crittografia in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Applicazione della crittografia dei dati inattivi
Devi accertarti che l'unico modo per archiviare i dati sia l'utilizzo della crittografia. AWS Key Management Service (AWS KMS) si integra perfettamente con molti servizi AWS per semplificare la crittografia di tutti i dati a riposo. Ad esempio, in Amazon Simple Storage Service (Amazon S3) puoi impostare [la crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) su un bucket in modo che tutti i nuovi oggetti vengano crittografati automaticamente. Inoltre, [Le istanze dei server virtuali Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) supportano l'applicazione della crittografia impostando la crittografia predefinita. Puoi utilizzare [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) per verificare automaticamente che stai utilizzando la crittografia, ad esempio, per i [volumi Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [le istanze Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Applicazione della crittografia dei dati inattivi per Amazon Simple Storage Service (Amazon S3): implementa la crittografia predefinita del bucket Amazon S3.
+ [Come abilitare la crittografia predefinita per un bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Utilizzo di AWS Secrets Manager: Secrets Manager è il servizio AWS che facilita il compito di gestire i segreti. I segreti possono essere credenziali di database, password, chiavi API di terze parti e persino testo arbitrario.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Configurazione della crittografia predefinita per nuovi volumi EBS: specifica che desideri che tutti i volumi EBS appena creati vengano creati in forma crittografata, con la possibilità di utilizzare la chiave predefinita fornita da AWS oppure una chiave creata da te.
+ [Crittografia predefinita per i volumi EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Configurazione di Amazon Machine Images (AMI) crittografate: copiando un'AMI esistente con crittografia abilitata verrà eseguita la crittografia automatica di volumi root e snapshot.
+ [AMI con snapshot crittografati](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Configurazione della crittografia Amazon Relational Database Service (Amazon RDS): configura la crittografia per cluster e snapshot del database Amazon RDS inattivi abilitando l'opzione di crittografia.
+ [Crittografia delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Configurazione della crittografia in servizi AWS aggiuntivi: per i servizi AWS che usi, stabilisci le funzionalità di crittografia.
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
## Risorse
**Documenti correlati:**
+ [AMI con snapshot crittografati](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
+ [SDK di crittografia AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Whitepaper per i dettagli della crittografia di AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Servizi e strumenti di crittografia di AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Crittografia Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Crittografia predefinita per i volumi EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Crittografia delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Come abilitare la crittografia predefinita per un bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protezione dei dati Amazon S3 tramite la crittografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Video correlati:**
+ [Come funziona la crittografia in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatizzazione della protezione dei dati a riposo
utilizza strumenti automatizzati per convalidare e applicare la protezione dei dati a riposo in modo continuo; ad esempio verifica che siano presenti solo risorse di storage crittografate. Puoi [automatizzare la convalida della crittografia di tutti i volumi EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) utilizzando [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) può anche verificare una serie di controlli diversi tramite verifiche automatiche a fronte di standard di sicurezza. Inoltre, le Regole di AWS Config possono correggere automaticamente [le risorse non conformi](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
*I dati a riposo* rappresentano tutti i dati conservati nello storage non volatile per qualsiasi durata del carico di lavoro. Sono inclusi storage a blocchi, storage di oggetti, database, archivi, dispositivi IoT e qualsiasi altro supporto di storage su cui sono conservati i dati. La protezione dei dati a riposo riduce il rischio di accesso non autorizzato quando vengono implementati crittografia e controlli degli accessi adeguati.
Applica la crittografia dei dati a riposo: devi accertarti che l'unico modo per archiviare i dati sia l'utilizzo della crittografia. AWS KMS si integra perfettamente con molti servizi AWS per semplificare la crittografia di tutti i dati inattivi. Ad esempio, in Amazon Simple Storage Service (Amazon S3) puoi impostare [la crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) su un bucket in modo che tutti i nuovi oggetti vengano crittografati automaticamente. Inoltre, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) supportano l'applicazione della crittografia impostando la crittografia predefinita. Puoi utilizzare [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) per verificare automaticamente che stai utilizzando la crittografia, ad esempio, per i [volumi EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [le istanze Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Risorse
**Documenti correlati:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [SDK di crittografia AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Video correlati:**
+ [How Encryption Works in AWS (Come funziona la crittografia in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Applicazione del controllo degli accessi
Applica il controllo degli accessi con privilegi minimi e meccanismi come backup, isolamento e controllo delle versioni, per favorire la protezione dei dati a riposo. Impedisci agli operatori di concedere l'accesso pubblico ai tuoi dati.
Controlli diversi inclusi l'accesso (tramite il privilegio minimo), i backup (vedi [il whitepaper sull'affidabilità](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), l'isolamento e il controllo delle versioni possono tutti aiutare a proteggere i dati a riposo. L'accesso ai dati deve essere controllato utilizzando i meccanismi di rilevamento trattati in precedenza in questo documento, tra cui CloudTrail e il registro del livello di servizio, ad esempio i registri di accesso Amazon Simple Storage Service (Amazon S3). Devi eseguire un inventario dei dati accessibili al pubblico e pianificare come ridurre la quantità di dati disponibili nel tempo. Amazon Glacier Vault Lock e Amazon S3 Object Lock sono funzionalità che forniscono un controllo degli accessi obbligatorio. Una volta bloccata una policy Vault con l'opzione di conformità, nemmeno l'utente root può modificarla fino alla scadenza del blocco. Il meccanismo soddisfa i requisiti di gestione di libri e record di SEC, CFTC e FINRA. Per ulteriori dettagli, consulta [questo whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Applicazione del controllo degli accessi: applica il controllo degli accessi con privilegio minimo, incluso l'accesso alle chiavi di crittografia.
+ [Introduzione alla gestione delle autorizzazioni di accesso per le risorse Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Separazione dei dati in base a diversi livelli di classificazione: usa diversi Account AWS per i livelli di classificazione dei dati gestiti da AWS Organizations.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Revisione delle policy AWS KMS: rivedi il livello di accesso consentito nelle policy di AWS KMS.
+ [Panoramica sulla gestione dell'accesso alle risorse di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Esame dei bucket Amazon S3 e delle autorizzazioni degli oggetti: rivedi con regolarità il livello di accesso concesso nelle policy dei bucket Amazon S3. Le best practice prevedono l'assenza di bucket pubblicamente leggibili o scrivibili. Valuta l'utilizzo di AWS Config per rilevare i bucket disponibili pubblicamente e di Amazon CloudFront per fornire contenuti provenienti da Amazon S3.
+ [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: un abbinamento nel cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Abilitazione del controllo delle versioni e del blocco degli oggetti di Amazon S3.
+ [Utilizzo del controllo delle versioni](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Blocco degli oggetti con Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Utilizzo di Amazon S3 Inventory: Amazon S3 Inventory è uno degli strumenti utilizzabili per eseguire audit e segnalare lo stato di replica e crittografia degli oggetti.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Esame delle autorizzazioni di condivisione Amazon EBS e AMI: le autorizzazioni di condivisione consentono la condivisione di immagini e volumi con Account AWS esterni al tuo carico di lavoro.
+ [Condivisione di uno snapshot Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI condivise](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Risorse
**Documenti correlati:**
+ [Whitepaper per i dettagli della crittografia di AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video correlati:**
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Utilizzo di meccanismi per tenere le persone a distanza dai dati
Evita a tutti gli utenti di accedere direttamente a dati e sistemi sensibili in circostanze operative normali. Ad esempio, usa un flusso di lavoro per la gestione delle modifiche per gestire le istanze Amazon Elastic Compute Cloud (Amazon EC2) tramite strumenti, invece di consentire l'accesso diretto o tramite un host bastione. A tal fine puoi utilizzare [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), che utilizza [documenti di automazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) che contengono le fasi utilizzate per eseguire le attività. Questi documenti possono essere archiviati nel controllo sorgente, revisionati in peering prima dell'esecuzione e testati accuratamente per ridurre al minimo i rischi rispetto all'accesso alla shell. Gli utenti aziendali possono utilizzare un pannello di controllo anziché accedere direttamente a un datastore per eseguire query. Se non vengono utilizzate le pipeline CI/CD, determina quali controlli e processi sono necessari per fornire in modo adeguato un meccanismo di accesso di tipo break-glass normalmente disabilitato.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Implementazione di meccanismi per tenere le persone lontane dai dati: i meccanismi includono l'utilizzo di pannelli di controllo, ad esempio Quick, per mostrare i dati agli utenti anziché eseguire query direttamente.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automazione della gestione della configurazione: esegui azioni a distanza, applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione. Evita l'uso di bastion host o l'accesso diretto alle istanze EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline CI/CD per modelli AWS CloudFormation su AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Risorse
**Documenti correlati:**
+ [Whitepaper per i dettagli della crittografia di AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video correlati:**
+ [Come funziona la crittografia in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 In che modo proteggi i dati in transito?
Proteggi i dati in transito implementando più controlli, per ridurre il rischio di accessi non autorizzati o perdita.
**Topics**
+ [SEC09-BP01 Implementazione della gestione sicura delle chiavi e dei certificati](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Applicazione della crittografia dei dati in transito](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatizzazione del rilevamento degli accessi indesiderati ai dati](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Autenticazione delle comunicazioni di rete](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implementazione della gestione sicura delle chiavi e dei certificati
archivia le chiavi di crittografia e i certificati in modo sicuro e ruotali a intervalli di tempo appropriati tramite un controllo rigoroso degli accessi. Il modo migliore per farlo è utilizzare un servizio gestito, ad esempio [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Questo servizio consente di effettuare il provisioning, gestire e distribuire facilmente certificati TLS (Transport Layer Security) pubblici e privati da utilizzare con i servizi AWS e le risorse interne connesse. I certificati TLS vengono utilizzati per proteggere le comunicazioni di rete e stabilire l'identità dei siti Web su Internet e delle risorse su reti private. ACM si integra con le risorse AWS, come Elastic Load Balancer (ELB), distribuzioni AWS e API su API Gateway, gestendo anche i rinnovi automatici dei certificati. Se utilizzi ACM per implementare un'autorità di certificazione (CA, Certificate Authority) root privata, esso può fornire sia certificati sia chiavi private da utilizzare in istanze Amazon Elastic Compute Cloud (Amazon EC2), container e così via.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Implementazione della gestione sicura delle chiavi e dei certificati: implementa una soluzione di gestione dei certificati e delle chiavi sicura e definita.
+ [ Gestion certificati AWS](https://aws.amazon.com/certificate-manager/)
+ [ Come ospitare e gestire un'intera infrastruttura di certificati privata in AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implementazione dei protocolli di sicurezza: utilizza protocolli sicuri che offrono autenticazione e riservatezza, come TLS (Transport Layer Security) o IPsec, per ridurre il rischio di manomissione o perdita dei dati. Consulta la documentazione di AWS per i protocolli e la sicurezza attinenti ai servizi in uso.
## Risorse
**Documenti correlati:**
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Applicazione della crittografia dei dati in transito
Applica i requisiti di crittografia definiti in base ad appropriati standard e raccomandazioni in modo da soddisfare i requisiti aziendali, legali e di conformità. I servizi AWS forniscono endpoint HTTPS utilizzando TLS per le comunicazioni e pertanto forniscono crittografia in transito quando comunicano con le API AWS. I protocolli non sicuri, come HTTP, possono essere controllati e bloccati in un VPC tramite l'uso di gruppi di sicurezza. Le richieste HTTP possono anche essere [reindirizzate automaticamente a HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) in Amazon CloudFront o in un [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Hai il controllo completo sulle tue risorse informatiche per implementare la crittografia in transito nei tuoi servizi. Inoltre, puoi utilizzare la connettività VPN nel VPC da una rete esterna per facilitare la crittografia del traffico. Per requisiti particolari, in Marketplace AWS sono disponibili soluzioni di terze parti.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Applica la crittografia in transito: i requisiti di crittografia definiti dovrebbero essere basati sugli standard e sulle best practice più recenti e consentire solo protocolli sicuri. Configura ad esempio un solo gruppo di sicurezza per consentire l'utilizzo del protocollo HTTPS a un Application Load Balancer o a un'istanza Amazon Elastic Compute Cloud (Amazon EC2).
+ Configura protocolli di sicurezza nei servizi edge: configura HTTPS con Amazon CloudFront e la crittografia richiesta.
+ [ Utilizzo di HTTPS con CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Usa un VPN per la connettività esterna: valuta l'impiego di una VPN IPsec per la protezione delle connessioni punto a punto o rete a rete al fine di garantire la riservatezza e l'integrità dei dati.
+ [ Connessioni VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Configura protocolli sicuri nei sistemi di bilanciamento del carico: abilita listener HTTPS per la protezione delle connessioni verso i sistemi di bilanciamento del carico.
+ [ Listener HTTPS per Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Configura protocolli sicuri per le istanze: valuta la possibilità di configurare la crittografia HTTPS sulle istanze.
+ [ Tutorial: configurazione del server Web Apache su Amazon Linux 2 per l'utilizzo di SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Configura protocolli di sicurezza in Amazon Relational Database Service (Amazon RDS): usa Secure Socket Layer (SSL) o Transport Layer Security (TLS) per crittografare la connessione a istanze di database.
+ [ Utilizzo di SSL per crittografare una connessione a un'istanza DB ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Configura protocolli di sicurezza in Amazon Redshift: configura il cluster per richiedere una connessione Secure Socket Layer (SSL) o Transport Layer Security (TLS).
+ [ Configurazione delle opzioni di sicurezza per le connessioni ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Configura protocolli di sicurezza in servizi AWS aggiuntivi Per i servizi AWS che usi, stabilisci le funzionalità di crittografia in transito.
## Risorse
**Documenti correlati:**
+ [ Documentazione di AWS](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 Automatizzazione del rilevamento degli accessi indesiderati ai dati
Usa strumenti come Amazon GuardDuty per rilevare in automatico attività o tentativi sospetti di trasferire i dati al di fuori di limiti predefiniti. Ad esempio, GuardDuty può rilevare attività di lettura di Amazon Simple Storage Service (Amazon S3) inusuale con [Exfiltration:S3/AnomalousBehavior finding](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Oltre a GuardDuty, si possono utilizzare i [Registri di flusso Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), che acquisiscono informazioni sul traffico di rete, con Amazon EventBridge per attivare il rilevamento di connessioni anomale, riuscite e negate. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) aiuta a valutare quali dati sono accessibili a chi nei bucket Amazon S3.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Automazione del rilevamento di accessi ai dati non intenzionali: utilizza uno strumento o un meccanismo di rilevamento per rilevare automaticamente i tentativi di spostamento dei dati all'esterno dei confini definiti, ad esempio, per individuare un sistema di database che copia i dati su un host sconosciuto.
+ [ Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Valutazione di Amazon Macie: Amazon Macie è un servizio di sicurezza e privacy dei dati completamente gestito che utilizza il machine learning e il pattern matching per rilevare e proteggere i dati sensibili all'interno di AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Risorse
**Documenti correlati:**
+ [ Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Autenticazione delle comunicazioni di rete
Verifica l'identità delle comunicazioni utilizzando protocolli che supportano l'autenticazione, ad esempio Transport Layer Security (TLS) o IPsec.
L'utilizzo di protocolli di rete che supportano l'autenticazione consente di stabilire l'attendibilità tra le parti. Questo si aggiunge alla crittografia utilizzata nel protocollo per ridurre il rischio che le comunicazioni vengano alterate o intercettate. I protocolli comuni che implementano l'autenticazione includono il protocollo TLS (Transport Layer Security), che viene utilizzato in molti servizi AWS, e IPsec, utilizzato in [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Implementazione di protocolli sicuri: utilizza protocolli sicuri che offrono autenticazione e riservatezza, come TLS (Transport Layer Security) o IPsec, per ridurre il rischio di manomissione o perdita dei dati. Verifica la [Documentazione di AWS](https://docs.aws.amazon.com/) per i protocolli e la sicurezza attinenti ai servizi in uso.
## Risorse
**Documenti correlati:**
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
# Risposta agli imprevisti
**Topics**
+ [SEC 10 In che modo prevedi, reagisci a e risolvi gli incidenti?](w2aac19b7c15b5.md)
# SEC 10 In che modo prevedi, reagisci a e risolvi gli incidenti?
La preparazione è cruciale per un esame tempestivo ed efficace degli incidenti di sicurezza, nonché per la risposta e il ripristino, così da ridurre al minimo potenziali interruzioni dell'organizzazione.
**Topics**
+ [SEC10-BP01 Identificazione del personale chiave e delle risorse esterne](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Sviluppo di piani di gestione degli incidenti](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Preparazione di funzionalità forensi](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Automatizzazione della capacità di contenimento](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 Preassegnazione dell'accesso](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Distribuzione anticipata degli strumenti](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Esecuzione di giornate di gioco](sec_incident_response_run_game_days.md)
# SEC10-BP01 Identificazione del personale chiave e delle risorse esterne
Identifica personale, risorse e requisiti legali interni ed esterni che potrebbero aiutare l'organizzazione a rispondere a un incidente.
Quando definisci come affrontare la risposta agli incidenti nel cloud, insieme ad altri team (ad esempio il consulente legale, la leadership dell'organizzazione, le parti interessate, i servizi AWS Support e altri), devi identificare il personale chiave, le parti interessate e i contatti pertinenti. Per ridurre le dipendenze e i tempi di risposta, assicurati che il personale, i team di sicurezza specializzati e i team che rispondono agli incidenti ricevano informazioni sui servizi che utilizzi e abbiano l'opportunità di esercitarsi direttamente.
Ti invitiamo a identificare i partner di sicurezza AWS esterni in grado di fornirti competenze e una prospettiva diversa per potenziare le tue capacità di risposta. I partner di sicurezza affidabili possono aiutarti a identificare potenziali rischi o minacce che potresti non conoscere.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Identifica il personale chiave all'interno dell'organizzazione: conserva un elenco di contatti del personale interno alla tua organizzazione che potrebbe essere necessario coinvolgere per rispondere a un incidente ed effettuare il ripristino.
+ Identifica i partner esterni: se necessario, coinvolgi partner esterni che possano aiutarti a rispondere a un incidente e a effettuare il ripristino.
## Risorse
**Documenti correlati:**
+ [AWS Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Video correlati:**
+ [Prepare for and respond to security incidents in your AWS environment ](https://youtu.be/8uiO0Z5meCs)
**Esempi correlati:**
# SEC10-BP02 Sviluppo di piani di gestione degli incidenti
Crea piani che ti aiutino a rispondere a un incidente, comunicare durante lo stesso e ripristinare in seguito le risorse. Ad esempio, puoi avviare un piano di risposta agli incidenti con gli scenari più probabili per il carico di lavoro e l'organizzazione. Includi il modo in cui gestiresti la comunicazione e l'escalation internamente ed esternamente.
**Livello di rischio associato se questa best practice non fosse adottata:** alto
## Guida all'implementazione
Un piano di gestione degli incidenti è fondamentale per rispondere, mitigare e ripristinare lo stato a seguito del potenziale impatto degli incidenti di sicurezza. Un piano di gestione degli incidenti è un processo strutturato per identificare, correggere e rispondere tempestivamente agli incidenti di sicurezza.
Il cloud ha molti degli stessi ruoli e requisiti operativi che si trovano in un ambiente on-premise. Quando si crea un piano di gestione degli incidenti è importante tenere conto delle strategie di risposta e ripristino che meglio si allineano ai risultati aziendali e ai requisiti di conformità. Ad esempio, se gestisci carichi di lavoro in AWS conformi a FedRAMP negli Stati Uniti, è utile attenersi a [NIST SP 800-61 Computer Security Handling Guide (NIST SP 800-61 Guida alla gestione della sicurezza informatica)](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Analogamente, quando gestisci carichi di lavoro con dati PII (informazioni personali di identificazione) europei, considera ad esempio come potresti proteggere e rispondere a problemi relativi alla residenza dei dati come richiesto dalle [normative del Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en).
Quando crei un piano di gestione degli incidenti per i carichi di lavoro eseguiti in AWS, inizia con il [Modello di responsabilità condivisa AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)per creare un approccio di difesa in profondità in risposta agli incidenti. In questo modello, AWS gestisce la sicurezza del cloud e tu sei responsabile della sicurezza nel cloud. Ciò significa che mantieni il controllo e sei responsabile dei controlli di sicurezza che scegli di implementare. La [AWS Security Incident Response Guide (Guida alle risposte agli incidenti di sicurezza di AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) illustra i concetti chiave e le linee guida di base per la creazione di un piano di gestione degli incidenti incentrato sul cloud.
Un piano di gestione degli incidenti efficace deve essere continuamente iterato per rimanere in linea con l'obiettivo delle operazioni cloud. Prendi in considerazione l'utilizzo dei piani di implementazione descritti di seguito durante la creazione e l'evoluzione del tuo piano di gestione degli incidenti.
+ **Istruzione e formazione per la risposta agli incidenti:** quando si verifica una deviazione dalla linea di base definita (ad esempio, un'implementazione o una configurazione errata), potrebbe essere necessario rispondere e analizzare. Per farlo correttamente, è necessario comprendere quali controlli e capacità è possibile utilizzare per la risposta agli incidenti di sicurezza all'interno del proprio ambiente AWS, nonché i processi che è necessario implementare per preparare, istruire e formare i team cloud che partecipano alla risposta agli incidenti.
+ [Playbook](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) e [runbook](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) sono meccanismi efficaci per creare coerenza nella formazione su come rispondere agli incidenti. Inizia con la creazione di un elenco di procedure eseguite di frequente per rispondere agli incidenti e continua a ripetere le operazioni mentre apprendi o utilizzi nuove procedure.
+ Acquisisci familiarità con i playbook e i runbook con i previsti [game day](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html). Durante i game day, simula la risposta agli incidenti in un ambiente controllato in modo che i team possano apprendere come rispondere e per verificare che i team coinvolti nella risposta agli incidenti conoscano bene i flussi di lavoro. Esamina i risultati dell'evento simulato per identificare i miglioramenti e determinare le necessità di ulteriore formazione o strumenti aggiuntivi.
+ La sicurezza deve essere considerata un impegno per tutti. Sviluppa una conoscenza collettiva del processo di gestione degli incidenti coinvolgendo tutto il personale che normalmente gestisce i carichi di lavoro. Includi tutti gli aspetti dell'azienda, come le operazioni, i test, lo sviluppo, la sicurezza, la direzione e l'esecutivo.
+ **Documentazione del piano di gestione degli incidenti:** documenta gli strumenti e il processo per registrare, agire, comunicare lo stato di avanzamento e fornire notifiche sugli incidenti attivi. L'obiettivo del piano di gestione degli incidenti è verificare che il normale funzionamento venga ripristinato il più rapidamente possibile, l'impatto sul business sia ridotto al minimo e tutte le parti interessate siano informate. Esempi di incidenti includono, tra gli altri, la perdita o il deterioramento della connettività di rete, un processo o un'API che non risponde, un'attività pianificata che non viene eseguita (ad esempio le patch non riuscite), l'indisponibilità dei dati o del servizio dell'applicazione, l'interruzione del servizio non pianificata a causa di eventi di sicurezza, la perdita di credenziali o gli errori di configurazione.
+ Identifica il proprietario principale responsabile della risoluzione degli incidenti, ad esempio il proprietario del carico di lavoro. Predisponi una guida chiara su chi guiderà la risposta all'incidente e come verrà gestita la comunicazione. Quando più di una parte partecipa al processo di risoluzione degli incidenti, ad esempio un fornitore esterno, prendi in considerazione la creazione di una *matrice di responsabilità (RACI)*dettagliando i ruoli e le responsabilità di vari team o persone necessari per la risoluzione degli incidenti.
La matrice RACI descrive quanto segue:
+ **R:** *Responsible,* la parte responsabile che svolge il lavoro per completare l'attività.
+ **A:** *Accountable,* parte o stakeholder predisposta con l'autorità finale sul completamento corretto dell'attività specifica.
+ **C:** *Consulted,* parte consultata le cui opinioni sono richieste, tipicamente come esperti in materia.
+ **I:** *Informed,* parte a cui viene notificato lo stato di avanzamento, spesso solo al completamento dell'attività o del risultato finale.
+ **Classificazione degli incidenti:** la definizione e la classificazione degli incidenti in base alla gravità e al punteggio di impatto consente un approccio strutturato al triage e alla risoluzione degli incidenti. Le seguenti raccomandazioni illustrano *una matrice di urgenza dall'impatto alla risoluzione* per quantificare un incidente. Ad esempio, un incidente a basso impatto e a bassa urgenza è considerato un incidente di bassa gravità.
+ **Alto:** l'impatto sulla tua attività è significativo. Le funzioni critiche dell'applicazione relative alle risorse AWS non sono disponibili. Questa categoria è riservata agli eventi più critici che interessano i sistemi produttivi. L'impatto dell'incidente aumenta rapidamente poiché la correzione è soggetta a requisiti di tempo.
+ **Medio:** un servizio aziendale o un'applicazione correlata alle risorse AWS ha subito un impatto moderato e continua a funzionare in uno stato degradato. Le applicazioni che contribuiscono agli obiettivi del livello di servizio (SLO) sono interessate entro i limiti dell'Accordo sul livello di servizio (SLA). I sistemi possono funzionare con capacità ridotte senza grande impatto finanziario e reputazionale.
+ **Basso:** sono interessate le funzioni non critiche del servizio aziendale o dell'applicazione relative alle risorse AWS. I sistemi possono funzionare con capacità ridotta con minimo impatto finanziario e reputazionale.
+ **Standardizzazione dei controlli di sicurezza:** l'obiettivo della standardizzazione dei controlli di sicurezza è ottenere coerenza, tracciabilità e ripetibilità per quanto riguarda i risultati operativi. Promuovi la standardizzazione tra le attività chiave che sono critiche per la risposta agli incidenti, ad esempio:
+ **Gestione di identità e accessi:** stabilisci i meccanismi per controllare l'accesso ai tuoi dati e gestire i privilegi per le identità di persone fisiche e macchine. Estendi la tua gestione di identità e accessi al cloud, utilizzando la sicurezza federata con autenticazione unica e privilegi basati sui ruoli per ottimizzare la gestione degli accessi. Per i suggerimenti sulle best practice e i piani di miglioramento per standardizzare la gestione degli accessi, consulta la [sezione della gestione di identità e accessi](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) del whitepaper Security Pillar (Principio della sicurezza).
+ **Gestione delle vulnerabilità:** stabilisci i meccanismi per identificare le vulnerabilità del tuo ambiente AWS che potrebbero essere utilizzate dagli aggressori per compromettere e abusare del tuo sistema. Implementa i controlli preventivi e investigativi come meccanismi di sicurezza per rispondere e mitigare il potenziale impatto degli incidenti di sicurezza. Standardizza i processi come la modellazione delle minacce come parte della creazione dell'infrastruttura e del ciclo di vita della distribuzione delle applicazioni.
+ **Gestione delle configurazioni:** definisci le configurazioni standard e automatizza le procedure per l'implementazione delle risorse nel Cloud AWS. La standardizzazione dell'infrastruttura e del provisioning delle risorse aiuta a mitigare il rischio di configurazioni errate dovute a implementazioni o configurazioni errate per incidente umano. Consulta la [sezione Design Principles (principi di progettazione)](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) del whitepaper Operational Excellence Pillar (Principio dell'eccellenza operativa) per linee guida e piani di miglioramento per l'applicazione di questo controllo.
+ **Registrazione e monitoraggio per il controllo di audit:** implementa i meccanismi per monitorare le tue risorse per errori, degrado delle prestazioni e problemi di sicurezza. La standardizzazione di questi controlli fornisce anche gli audit trail delle attività che si verificano nel sistema, aiutando il triage tempestivo e la risoluzione dei problemi. Le best practice incluse in [SEC 4 ("In che modo individui ed esamini gli eventi di sicurezza?")](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) forniscono le indicazioni per l'applicazione di questo controllo.
+ **Utilizzo dell'automazione:** l'automazione consente una risoluzione tempestiva degli incidenti su vasta scala. AWS fornisce diversi servizi per automatizzare nel contesto della strategia di risposta agli incidenti. Concentrati sulla ricerca di un equilibrio appropriato tra automazione e intervento manuale. Quando crei la risposta agli incidenti nei playbook e nei runbook, automatizza i passaggi ripetibili. Usa i servizi AWS come Strumento di gestione degli incidenti AWS Systems Manager per [risolvere gli incidenti IT più velocemente](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/). Utilizza [gli strumenti per sviluppatori](https://aws.amazon.com/devops/) per fornire il controllo delle versioni e automatizzare le implementazioni di [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) e Infrastruttura come codice (IaC) senza l'intervento umano. Ove applicabile, automatizza il rilevamento e la valutazione della conformità utilizzando servizi gestiti come Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM, AWS Config e Amazon Macie. Ottimizza le capacità di rilevamento con soluzioni di machine learning come Amazon DevOps Guru per rilevare problemi di schemi operativi anomali prima che si verifichino.
+ **Esecuzione dell'analisi della causa principale e acquisizione delle lezioni apprese:** implementa i meccanismi per acquisire le lezioni apprese come parte di una revisione della risposta successiva all'incidente. Quando la causa principale di un incidente rivela un difetto più grande, un difetto di progettazione, una configurazione errata o una possibilità di ricorrenza, essa viene classificata come problema. In questi casi, analizza e risolvi il problema per ridurre al minimo l'interruzione delle normali operazioni.
## Risorse
**Documenti correlati:**
+ [AWS Security Incident Response Guide (Guida alle risposte agli incidenti di sicurezza di AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: Guida alla gestione degli incidenti di sicurezza informatica ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
**Video correlati:**
+ [Automating Incident Response and ForensicsAWS](https://youtu.be/f_EcwmmXkXk)
+ [ DIY guide to runbooks, incident reports, and incident response ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Esempi correlati:**
+ [Laboratorio: Incident Response Playbook with Jupyter - AWS IAM](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Lab: Incident Response with AWS Console and CLI (Laboratorio: risposta agli incidenti con la Console AWS e l'interfaccia della riga di comando) ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP03 Preparazione di funzionalità forensi
È importante che le persone che intervengono dopo un incidente siano in grado di capire quando e come un'indagine forense è richiesta nel piano di risposta. L'organizzazione deve stabilire le prove da raccogliere e gli strumenti da utilizzare nel processo. Identifica e prepara capacità di indagine forensi idonee, tra cui specialisti esterni, strumenti e automazione. Una decisione importante da prendere in anticipo è se raccogliere i dati da un sistema live. Alcuni dati, come i contenuti della memoria volatile o le connessioni di rete attive, andranno perse se il sistema viene spento o riavviato.
Il team di risposta agli incidenti può abbinare strumenti, come AWS Systems Manager, Amazon EventBridge e AWS Lambda, per eseguire in automatico strumenti forensi all'interno di un sistema operativo e il mirroring del traffico VPC e ottenere un pacchetto di rete, per raccogliere prove non persistenti. Conduci altre attività, come l'analisi dei log o l'analisi delle immagini del disco, in un account di sicurezza dedicato con workstation forensi personalizzate e strumenti accessibili per i soccorritori.
Invia con regolarità i log rilevanti a un data store che garantisce durabilità e integrità elevate. I soccorritori devono avere accesso a tali log. AWS offre diversi strumenti che possono semplificare l'analisi dei log, come Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) e Amazon CloudWatch Logs Insights. Inoltre, conserva le prove in modo sicuro con Amazon Simple Storage Service (Amazon S3) Object Lock. Questo servizio è in linea con il modello WORM (scrivi uno - leggi molti) e impedisce l'eliminazione o la sovrascrittura di oggetti per un periodo definito. Poiché le tecniche di indagine forensi richiedono una formazione specializzata, potrebbe essere necessario coinvolgere specialisti esterni.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Identifica le capacità forensi: ricerca le capacità di indagine forense della tua organizzazione, gli strumenti disponibili e gli specialisti esterni.
+ [Automatizzazione delle indagini e della risposta agli incidenti ](https://youtu.be/f_EcwmmXkXk)
## Risorse
**Documenti correlati:**
+ [How to automate forensic disk collection in AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 Automatizzazione della capacità di contenimento
Automatizza il contenimento di un incidente e il successivo ripristino per ridurre i tempi di risposta e l'impatto sull'organizzazione.
Dopo aver creato e utilizzato i processi e gli strumenti dai playbook, puoi decostruire la logica in una soluzione basata su codice, che può essere utilizzata come strumento dal team di risposta per automatizzare la risposta e rimuovere la varianza o le supposizioni. Questo può accelerare il ciclo di vita di una risposta. L'obiettivo successivo è abilitare questo codice in modo che sia completamente automatizzato e che possa essere richiamato dagli avvisi o dagli eventi stessi, piuttosto che da un addetto alle risposte, per creare una risposta basata sugli eventi. Questi processi devono anche aggiungere automaticamente dati pertinenti ai sistemi di sicurezza. Ad esempio, un incidente che comporta traffico da un indirizzo IP non desiderato può automaticamente popolare un elenco i blocco AWS WAF o un gruppo di regole del firewall di rete per prevenire ulteriori attività.
![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/it_it/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)
*Figura 3: AWS WAF automatizza il blocco di indirizzi IP dannosi noti.*
Tramite un sistema di risposta basata sugli eventi, un meccanismo di rilevamento attiva un meccanismo di risposta per correggere automaticamente l'evento. Puoi utilizzare le funzionalità di risposta basata sugli eventi per ridurre il time-to-value tra meccanismi di rilevamento e di risposta. Per creare questa architettura basata sugli eventi, puoi utilizzare AWS Lambda, un servizio di elaborazione serverless che esegue il codice in risposta a eventi e gestisce automaticamente le risorse di calcolo sottostanti per tuo conto. Ad esempio, supponiamo che tu disponga di un account AWS con il servizio AWS CloudTrail abilitato. Se AWS CloudTrail è disabilitato (tramite la chiamata API `cloudtrail:StopLogging` ), puoi utilizzare Amazon EventBridge per monitorare l'evento specifico `cloudtrail:StopLogging` e richiamare una funzione AWS Lambda al fine di chiamare `cloudtrail:StartLogging` per riavviare la registrazione.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
Automatizzazione della capacità di contenimento.
## Risorse
**Documenti correlati:**
+ [AWS Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Video correlati:**
+ [Prepare for and respond to security incidents in your AWS environment](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 Preassegnazione dell'accesso
Verifica che il team di risposta agli incidenti disponga degli opportuni diritti di accesso allocati in AWS per ridurre i tempi necessari per l'analisi e il ripristino.
**Anti-pattern comuni:**
+ L'utilizzo dell'account root per la risposta agli incidenti.
+ La modifica degli account utente esistenti.
+ La manipolazione diretta delle autorizzazioni IAM quando si fornisce l'elevazione dei privilegi just-in-time.
**Livello di rischio associato se questa best practice non fosse adottata:** medio
## Guida all'implementazione
AWS raccomanda di ridurre o eliminare, ove possibile, la dipendenza da credenziali di lunga durata, a favore delle credenziali temporanee e dei meccanismi di escalation dei privilegi *just-in-time* . Le credenziali di lunga durata sono soggette a rischi per la sicurezza e aumentano il sovraccarico operativo. Per la maggior parte delle attività di gestione, nonché per le attività di risposta agli incidenti, consigliamo di implementare [la federazione delle identità](https://docs.aws.amazon.com/identity/federation/) insieme [all'escalation temporanea per l'accesso amministrativo](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). In questo modello, un utente richiede l'elevazione a un livello di privilegio superiore (come un ruolo di risposta agli incidenti) e, se è idoneo all'elevazione, la richiesta viene inviata al responsabile dell'approvazione. Se la richiesta viene approvata, l'utente riceve un set di credenziali [AWS temporanee](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) che può utilizzare per eseguire le sue attività. Alla scadenza di queste credenziali, l'utente deve inviare una nuova richiesta di elevazione.
Si consiglia l'uso dell'escalation temporanea dei privilegi nella maggior parte degli scenari di risposta agli incidenti. Il modo corretto per farlo è utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) e [le policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) per definire l'ambito di accesso.
Esistono scenari in cui le identità federate non sono disponibili, come nei casi di:
+ Interruzione correlata a un gestore dell'identità digitale (IdP) compromesso.
+ Configurazione errata o errore umano che causa l'interruzione del sistema di gestione dell'accesso federato.
+ Attività dannose come un evento DDoS (Distributed Denial of Service) o indisponibilità del sistema.
Nei casi precedenti, si deve configurare un accesso di emergenza *di tipo break-glass* per consentire l'analisi e la tempestiva risoluzione degli incidenti. Ti consigliamo di utilizzare [un utente IAM con le autorizzazioni appropriate](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) per eseguire le attività e accedere alle risorse AWS. Utilizza le credenziali root solo per le [attività che richiedono l'accesso come utente root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Per verificare che i team di risposta agli incidenti dispongano del corretto livello di accesso ad AWS e ad altri sistemi pertinenti, ti consigliamo di eseguire la pre-assegnazione di account utente dedicati. Gli account utente richiedono l'accesso con privilegi e devono essere rigorosamente controllati e monitorati. Gli account devono essere creati con il minor numero di privilegi richiesti per eseguire le attività e il livello di accesso deve essere basato sui playbook inclusi nel piano di gestione degli incidenti.
Utilizza utenti e ruoli specifici e dedicati come best practice. L'escalation temporanea dell'accesso di utenti o ruoli tramite l'aggiunta di policy IAM rende poco chiaro quale fosse l'accesso degli utenti durante l'incidente e rischia di non revocare i privilegi oggetto di escalation.
È importante rimuovere il maggior numero possibile di dipendenze per verificare che sia possibile ottenere l'accesso nel maggior numero possibile di scenari di errore. Per supportare questa esigenza, crea un playbook per verificare che gli utenti dei team di risposta agli incidenti vengano creati come utenti AWS Identity and Access Management in un account di sicurezza dedicato e non gestiti tramite una federazione esistente o una soluzione di autenticazione unica (SSO). Ogni singolo utente dei team di risposta deve avere il proprio account denominato. La configurazione dell'account deve applicare [una policy di password complesse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) e l'autenticazione a più fattori (MFA). Se i playbook di risposta agli incidenti richiedono solo l'accesso alla Console di gestione AWS, non è necessario che l'utente disponga di chiavi di accesso configurate né che sia esplicitamente autorizzato a creare chiavi di accesso. A tale scopo è possibile configurare le policy IAM o le policy di controllo dei servizi come menzionato in AWS Security Best Practices (Best practice di sicurezza AWS) per [le policy di controllo dei servizi AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Gli utenti non devono avere privilegi oltre la capacità di assumere i ruoli di risposta agli incidenti in altri account.
Durante un incidente potrebbe essere necessario concedere l'accesso ad altre persone interne o esterne per supportare le attività di analisi, correzione o ripristino. In questo caso, utilizza il meccanismo del playbook menzionato in precedenza e un processo per verificare che qualsiasi accesso aggiuntivo venga revocato immediatamente dopo il completamento dell'incidente.
Per verificare che l'uso dei ruoli di risposta agli incidenti possa essere adeguatamente monitorato e controllato, è essenziale che gli account utente IAM creati a tale scopo non siano condivisi tra le persone e che l'utente root Account AWS non venga utilizzato se [non per un'attività specifica](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Se è richiesto l'utente root (ad esempio, l'accesso IAM a un account specifico non è disponibile), utilizza un processo separato con un playbook disponibile per verificare la disponibilità della password dell'utente root e del token MFA.
Per configurare le policy IAM per i ruoli di risposta agli incidenti, prendi in considerazione di usare [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) per generare le policy sulla base dei log AWS CloudTrail. In questo caso, concedi l'accesso come amministratore al ruolo di risposta agli incidenti per un account non di produzione ed esegui i playbook. Al termine, potrà essere creata una policy che consenta solo le azioni da intraprendere. Questa policy può quindi essere applicata a tutti i ruoli di risposta agli incidenti in tutti gli account. Puoi anche creare una policy IAM separata per ogni playbook per avere una gestione e un controllo più semplici. Esempi di playbook possono essere piani di risposta per ransomware, violazioni dei dati, perdita dell'accesso alla produzione e altri scenari.
Utilizza gli account utente di risposta agli incidenti per assumere i ruoli di risposta [IAM dedicati in altri Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Questi ruoli devono essere configurati in modo che possano essere assunti solo dagli utenti nell'account di sicurezza e la relazione di trust deve richiedere che il principale chiamante sia autenticato tramite MFA. I ruoli devono utilizzare policy IAM con ambito limitato per controllare l'accesso. Assicurati che tutte le richieste `AssumeRole` per questi ruoli vengano registrate in CloudTrail e notificate e che tutte le azioni intraprese utilizzando questi ruoli vengano registrate.
Ti consigliamo vivamente di nominare chiaramente gli account utente IAM e i ruoli IAM per trovarli facilmente nei log CloudTrail. Un esempio potrebbe essere quello di nominare gli account IAM `-BREAK-GLASS` e i ruoli IAM `RUOLO-BREAK-GLASS`.
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) viene utilizzato per registrare l'attività API negli account AWS e deve essere utilizzato per [configurare gli avvisi sull'utilizzo dei ruoli di risposta agli incidenti](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Fai riferimento al post del blog sulla configurazione degli avvisi quando vengono utilizzate le chiavi root. Le istruzioni possono essere modificate per configurare il parametro [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) da filtro a filtro negli eventi `AssumeRole` correlati al ruolo IAM di risposta agli incidenti:
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
Poiché è probabile che i ruoli di risposta agli incidenti abbiano un livello di accesso elevato, è importante che questi avvisi vengano inviati a un gruppo ampio e vengano gestiti tempestivamente.
Durante un incidente, è possibile che un membro del team di risposta richieda l'accesso a sistemi che non sono direttamente protetti da IAM, ad esempio istanze Amazon Elastic Compute Cloud, database Amazon Relational Database Service o piattaforme Software-as-a-service (SaaS). Anziché i protocolli nativi come SSH o RDP, ti consigliamo vivamente di utilizzare [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) per l'accesso amministrativo completo alle istanze Amazon EC2. Questo accesso può essere monitorato utilizzando IAM, che è sicuro e controllato. Puoi anche automatizzare parti dei tuoi playbook utilizzando i documenti di [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)che possono ridurre gli errori dell'utente e migliorare i tempi di ripristino. Per l'accesso a database e strumenti di terze parti, ti consigliamo di archiviare le credenziali di accesso in Gestione dei segreti AWS e di concedere l'accesso ai ruoli degli utenti dei team di risposta agli incidenti.
Infine, la gestione degli account utente IAM di risposta agli incidenti deve essere aggiunta ai processi [degli utenti che si uniscono, si spostano o lasciano l'organizzazione](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) e deve rivista e testata periodicamente per verificare che sia consentito solo l'accesso previsto.
## Risorse
**Documenti correlati:**
+ [Managing temporary elevated access to your AWS environment (Gestione dell'accesso temporaneo con privilegi elevati all'ambiente AWS)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS Security Incident Response Guide (Guida alle risposte agli incidenti di sicurezza di AWS) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [Strumento di gestione degli incidenti AWS Systems Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [Impostazione di una policy delle password dell'account per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Utilizzo dell'autenticazione a più fattori (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ Configuring Cross-Account Access with MFA (Configurazione dell'accesso multi-account con MFA) ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Using IAM Access Analyzer to generate IAM policies (Utilizzo di IAM Access Analyzer per generare policy IAM) ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment (Best practice per le policy di controllo dei servizi di AWS Organizations in un ambiente multi-account) ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ How to Receive Notifications When Your AWS Account’s Root Access Keys Are Used (Come ricevere le notifiche quando vengono utilizzate le chiavi di accesso root dell'account AWS) ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Create fine-grained session permissions using IAM managed policies (Creazione di autorizzazioni di sessione dettagliate utilizzando le policy gestite da IAM) ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**Video correlati:**
+ [ Automating Incident Response and ForensicsAWS](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [DIY guide to runbooks, incident reports, and incident response](https://youtu.be/E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Esempi correlati:**
+ [ Lab: AWS Account Setup and Root User (Laboratorio: configurazione dell'account AWS e dell'utente root) ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Lab: Incident Response with AWS Console and CLI (Laboratorio: risposta agli incidenti con la Console AWS e l'interfaccia della riga di comando) ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 Distribuzione anticipata degli strumenti
assicurati che il personale addetto alla sicurezza disponga degli strumenti giusti pre-distribuiti in AWS per ridurre i tempi di verifica fino al ripristino.
Per automatizzare le funzioni delle operazioni e la progettazione della sicurezza, puoi utilizzare un set completo di API e strumenti di AWS. Puoi automatizzare completamente le funzionalità di gestione delle identità, sicurezza della rete, protezione dei dati e monitoraggio e distribuirle utilizzando metodi di sviluppo software comuni già esistenti. Quando crei l'automazione della sicurezza, il sistema può monitorare, rivedere e avviare una risposta, invece di far monitorare alle persone il comportamento di sicurezza e reagire manualmente agli eventi. Un modo efficace per fornire in automatico dati di log pertinenti e su cui è possibile effettuare ricerche nei servizi AWS a chi si attiva in seguito a un incidente è abilitare [Amazon Detective](https://aws.amazon.com/detective/).
Se i team di risposta agli incidenti continuano a rispondere agli avvisi nello stesso modo, rischiano il cosiddetto affaticamento dagli avvisi ("alert fatigue"). Ciò significa che, nel corso del tempo, il team può diventare desensibilizzato agli avvisi e può commettere errori nella gestione di situazioni ordinarie o farsi sfuggire avvisi insoliti. L'automazione aiuta a evitare l'affaticamento dagli avvisi utilizzando funzioni che elaborano gli avvisi ripetitivi e ordinari, lasciando alle persone la gestione degli incidenti sensibili e univoci. Se si integrano sistemi di rilevamento delle anomalie, come Amazon GuardDuty, AWS CloudTrail Insights e Amazon CloudWatch Anomaly Detection, è possibile ridurre l'impatto di avvisi frequenti basati su soglie.
Puoi migliorare i processi manuali automatizzando le fasi del processo a livello di programmazione. Dopo aver definito il modello di correzione di un evento, puoi decomporre tale modello in una logica fruibile e scrivere il codice per eseguire tale logica. Il team di risposta può quindi eseguire il codice per risolvere il problema. Nel corso del tempo, puoi automatizzare più fasi e, infine, gestire automaticamente intere classi di incidenti comuni.
Per gli strumenti eseguiti all'interno del sistema operativo dell'istanza Amazon Elastic Compute Cloud (Amazon EC2), considera l'utilizzo di AWS Systems Manager Run Command, che consente di amministrare le istanze in remoto e in modo sicuro utilizzando un agente installato nel sistema operativo delle istanze Amazon EC2. È richiesto l'agente Systems Manager (Agente SSM), installato per impostazione predefinita su molte Amazon Machine Image (AMI). Tieni presente, tuttavia, che una volta che un'istanza è stata compromessa, nessuna risposta da parte di strumenti o agenti in esecuzione su di essa va considerata affidabile.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Distribuisci gli strumenti in anticipo: verifica che il personale addetto alla sicurezza disponga dei corretti strumenti pre-distribuiti in AWS affinché si possa implementare una risposta adeguata a un incidente.
+ [Laboratorio: Incident response with Console di gestione AWS and CLI ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ Incident Response Playbook with Jupyter - AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Automazione della sicurezza in AWS](https://github.com/awslabs/aws-security-automation)
+ Implementa l'applicazione di tag alle risorse: applica tag alle risorse con informazioni, ad esempio un codice per la risorsa sottoposta a verifica, in modo da poter identificare le risorse durante un incidente.
+ [ Strategie di applicazione di tag AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## Risorse
**Documenti correlati:**
+ [AWS Incident Response Guide (Guida alle risposte agli incidenti) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Video correlati:**
+ [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 Esecuzione di giornate di gioco
i game day, noti anche come simulazioni o esercizi, sono eventi interni che offrono un'opportunità strutturata per mettere in pratica i piani e le procedure di gestione degli incidenti in uno scenario realistico. Tali attività sono importanti per esercitare le capacità dei partecipanti, con gli stessi strumenti e le stesse tecniche del mondo reale e persino gli stessi ambienti. I game day riguardano fondamentalmente la preparazione e il miglioramento iterativo delle capacità di risposta. Alcuni dei motivi per cui potresti trovare utile l'organizzazione di game day includono:
+ Convalida della preparazione
+ Sviluppo delle competenze: apprendimento da simulazioni e dal personale preposto alla formazione
+ Rispetto degli obblighi contrattuali o di conformità
+ Generazione di artefatti per l'accreditamento
+ Agilità: miglioramento incrementale
+ Maggiore rapidità e miglioramento degli strumenti
+ Perfezionamento della comunicazione e dell'escalation
+ Gestione più sicura delle situazioni rare e inaspettate
Per questi motivi, il valore derivato dalla partecipazione a un'attività di simulazione aumenta l'efficacia di un'organizzazione durante gli eventi stressanti. Sviluppare un'attività di simulazione realistica e utile può essere un esercizio difficile. Anche se testare le procedure o l'automazione che gestisce eventi noti presenta alcuni vantaggi, è altrettanto utile partecipare alle attività [Security Incident Response Simulations (SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) creative per mettersi alla prova in situazioni impreviste e migliorare continuamente.
Crea simulazioni personalizzate in base al tuo ambiente, al tuo team e ai tuoi strumenti. Trova un problema e progetta una simulazione. Potrebbe trattarsi di una credenziale compromessa, di un server che comunica con sistemi indesiderati o di una configurazione errata che comporta un'esposizione non autorizzata. Identifica gli ingegneri che conoscono l'organizzazione per creare lo scenario e per la partecipazione di un altro gruppo. Lo scenario deve essere realistico e abbastanza impegnativo per essere rilevante. Deve offrire la possibilità di fare pratica con registri, notifiche, escalation ed esecuzioni di runbook o automazioni. Durante la simulazione, i soccorritori devono esercitare le proprie capacità tecniche e organizzative e i leader devono essere coinvolti per sviluppare le competenze necessarie per la gestione degli incidenti. Alla fine della simulazione, riconosci l'impegno del team e trova il modo di iterare, ripetere e ampliare nuove simulazioni.
[AWS ha creato modelli di Runbook di risposta agli incidenti](https://github.com/aws-samples/aws-incident-response-playbooks) che puoi usare non solo per preparare la tua risposta, ma anche come base per una simulazione. Nella fase di pianificazione, una simulazione può essere suddivisa in cinque fasi.
**Raccolta delle prove: **In questa fase, un team riceverà avvisi tramite diversi mezzi, come, ad esempio, un sistema di ticket interno, avvisi da strumenti di monitoraggio, suggerimenti anonimi o persino notizie pubbliche. I team cominciano quindi a esaminare i log di infrastrutture e applicazioni per stabilire l'origine della compromissione. Questa fase deve coinvolgere anche escalation interne e leadership degli incidenti. Una volta identificate queste informazioni, i team passano al contenimento dell'incidente
**Contenimento dell'incidente: **I team avranno stabilito che si è verificato un incidente e avranno identificato l'origine del compromissione. I team devono ora agire per contenerlo disabilitando ad esempio le credenziali compromesse, isolando una risorsa di calcolo o revocando l'autorizzazione di un ruolo.
**Eliminazione dell'incidente: **Ora che l'incidente è stato contenuto, i team lavoreranno per mitigare le vulnerabilità nelle applicazioni o nelle configurazioni dell'infrastruttura che sono state coinvolte nella compromissione. Potrebbe essere necessario ruotare tutte le credenziali utilizzate per un carico di lavoro, modificare le liste di controllo degli accessi (ACL) o cambiare le configurazioni di rete.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Esegui [game day](https://wa.aws.amazon.com/wat.concept.gameday.en.html): esegui eventi di risposta [a](https://wa.aws.amazon.com/wat.concept.incident.en.html) incidenti simulati [(game day)](https://wa.aws.amazon.com/wat.concept.event.en.html) per minacce diverse che coinvolgono personale e dirigenza chiave.
+ Integrazione dei concetti appresi: le lezioni apprese dall'esecuzione di [game day](https://wa.aws.amazon.com/wat.concept.gameday.en.html) devono essere parte del loop di feedback per migliorare i processi.
## Risorse
**Documenti correlati:**
+ [AWS Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery (Ripristino di emergenza elastico AWS)](https://aws.amazon.com/cloudendure-disaster-recovery/)
**Video correlati:**
+ [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)